Le 3 mai 2023 - Au quatrième trimestre 2022, la télémétrie ESET a enregistré le début d'une nouvelle campagne de MuddyWater, un groupe de cyber-espionnage lié au ministère iranien du renseignement et de la sécurité (MOIS), actif depuis 2017. Son groupe cible se trouve au Moyen-Orient, en Asie, Afrique, Europe et Amérique du Nord. Il est principalement composé d’entreprises de télécom, d’organisations gouvernementales et de marchés verticaux en énergie (pétrole, gaz).
La campagne d'octobre 2022 a fait ressortir quatre victimes, trois en Égypte et une en Arabie Saoudite, compromises par SimpleHelp, outil légitime d'accès à distance (Remote Access Control - RAT), et un logiciel d'assistance à distance utilisé par les MSP. Cette évolution signale l'importance de la visibilité pour les MSP. Lors du déploiement de centaines, voire de milliers de types de logiciels, ils n’ont d'autre choix que d'utiliser l'automatisation et de s’assurer que les équipes SOC (les administrateurs de sécurité en contact avec les clients) et les processus de détection et de réponse soient à niveau et en amélioration constante.
De bons outils pour les méchants ?
ESET Research a découvert (discovered) que si SimpleHelp se trouvait sur le disque d'une victime, les opérateurs de MuddyWater déployaient Ligolo, un tunnel inversé, pour connecter le système de la victime à leurs serveurs de commande et de contrôle (C&C). Comment et quand MuddyWater est-il entré en possession de l'outillage du MSP ou est entré dans l'environnement du MSP reste inconnu.
Alors que cette campagne se poursuit, l'utilisation de SimpleHelp par MuddyWater a, jusqu'à présent, réussi à obscurcir les serveurs C&C de MuddyWater - les commandes pour lancer Ligolo à partir de SimpleHelp n'ont pas encore été trouvées. Quoi qu'il en soit, on sait déjà que les opérateurs de MuddyWater utilisent aussi MiniDump (un dumper lsass.exe), CredNinja et une nouvelle version du dumper de mots de passe du groupe MKL64.
Fin octobre 2022, ESET a détecté que MuddyWater déployait un outil de tunnellisation inversée, personnalisé pour la même victime en Arabie Saoudite. Bien que l’objectif ne soit pas apparent immédiatement, l'analyse se poursuit et les progrès peuvent être suivis dans les rapports APT privés d’ESET.
En plus de l’utilisation de MiniDump pour obtenir des informations d'identification à partir des vidages du service de sous-système de l'autorité de sécurité locale (LSASS) et de l'outil de test de pénétration CredNinja, MuddyWater utilise d'autres tactiques comme les outils MSP populaires (MSP tools) de ConnectWise pour accéder aux systèmes des victimes.
ESET a aussi suivi d'autres techniques du groupe, telles que la stéganographie, qui masque les données dans les médias numériques tels que les images, les pistes audio, les clips vidéo ou les fichiers texte. Un rapport de 2018 de ClearSky Cyber Security MuddyWater Operations in Lebanon and Oman, documente aussi cette utilisation qui partage des hachages pour maliciels cachés dans plusieurs faux CV - MyCV.doc. ESET a détecté le maliciel obscurci comme étant VBA/TrojanDownloader.Agent.
Alors que quatre ans sont passés depuis la publication du rapport ClearSky et que le volume de détections ESET est passé de la septième position (avec 3,4 %) dans le rapport sur les menaces T3 2021 Threat Report à la « dernière » position (avec 1,8 %) dans le T3 Rapport sur les menaces 2022, VBA/TrojanDownloader.Agent est resté dans le top 10 des détections de maliciels par ESET
Les attaques de macros VBA (VBA macros attacks) exploitent des fichiers Microsoft Office conçus de manière malveillante et tentent de manipuler les utilisateurs (employés et clients MSP) pour permettre l'exécution de macros. Si elle est activée, la macro malveillante annexée télécharge et exécute en général des maliciels supplémentaires. Ces documents malveillants sont envoyés sous forme de pièces jointes déguisées en informations importantes et pertinentes pour le destinataire.
Appel à l'action pour MSP et entreprises
Les administrateurs MSP, configurant les principaux outils de productivité tels que Microsoft Word/Office 365/Outlook, gèrent les vecteurs qui menacent les réseaux qu'ils gèrent. Simultanément, les membres de l'équipe SOC peuvent ou non avoir leurs propres outils EDR/XDR bien configurés pour voir si des APT comme MuddyWater ou des entités criminelles tentent d'exploiter des techniques, y compris la stéganographie, pour accéder à leurs propres systèmes ou à ceux de leurs clients.
Les MSP ont besoin et d'une connectivité réseau fiable et d'un accès privilégié (trusted network connectivity and privileged access) aux systèmes clients pour fournir leurs services. Cela signifie qu'ils accumulent les risques et la responsabilité pour un grand nombre de clients. Les clients peuvent également hériter des risques liés à l'activité et à l'environnement du MSP qu'ils ont choisi. On a vu que XDR était un outil essentiel pour fournir une visibilité à la fois sur leurs propres environnements et les terminaux, les appareils et les réseaux des clients afin de garantir que les menaces émergentes, les comportements à risque des employés et les applis indésirables ne compromettent pas leurs profits ou leur réputation. Le fonctionnement mature des outils XDR par les MSP communique également leur rôle actif dans la fourniture d'une couche de sécurité spécifique pour l'accès privilégié qui leur est accordé par les clients.
Si des MSP matures gèrent le XDR, ils sont dans une bien meilleure position pour contrer une diversité de menaces, y compris les groupes APT qui peuvent chercher à tirer parti de la position de leurs clients dans les chaînes d'approvisionnement physiques et numériques. Comme défenseurs, les équipes SOC et les administrateurs MSP portent un double fardeau : maintenir la visibilité interne et la visibilité sur les réseaux des clients. Ces derniers doivent se préoccuper de la position de sécurité de leurs MSP et comprendre les menaces auxquelles ils sont confrontés, de peur qu'une compromission de leur fournisseur ne conduise à leur compromission.
LECTURE CONNEXE :
Choosing your MSP: What the Kaseya incident tells us about third-party cyber-risk
Criminal hacking hits Managed Service Providers: Reasons and responses