{"id":25634,"date":"2025-01-02T07:21:25","date_gmt":"2025-01-02T15:21:25","guid":{"rendered":"http:\/\/www.palada.net\/index.php\/2025\/01\/02\/news-19357\/"},"modified":"2025-01-02T07:21:25","modified_gmt":"2025-01-02T15:21:25","slug":"news-19357","status":"publish","type":"post","link":"https:\/\/www.palada.net\/index.php\/2025\/01\/02\/news-19357\/","title":{"rendered":"Sophos MDR bloque et suit les activit\u00e9s du probable acteur \u00e9tatique iranien “MuddyWater”"},"content":{"rendered":"

Credit to Author: gallagherseanm| Date: Mon, 25 Nov 2024 20:41:20 +0000<\/strong><\/p>\n

\n

Nous pensons avec une confiance mod\u00e9r\u00e9e que cette activit\u00e9, que nous suivons sous le nom de STAC 1171<\/em>, est li\u00e9e \u00e0 un acteur malveillant<\/a> iranien commun\u00e9ment appel\u00e9 MuddyWater<\/strong> ou TA450<\/strong>.<\/p>\n

Le premier incident que nous avons observ\u00e9 s\u2019est produit plus t\u00f4t en novembre, lorsque les r\u00e8gles comportementales de Sophos endpoint ont bloqu\u00e9 l\u2019activit\u00e9 de r\u00e9cup\u00e9ration d\u2019identifiants ciblant une organisation en Isra\u00ebl. Lors de l’analyse de l’activit\u00e9 en question, nous avons constat\u00e9 un overlap<\/em> au niveau des indicateurs et TTP avec les rapports de Proofpoint<\/a> concernant TA450. L’acteur a obtenu un premier acc\u00e8s via un email de phishing demandant \u00e0 l’utilisateur d’ouvrir un document partag\u00e9 h\u00e9berg\u00e9 sur hxxps[:\/\/]ws[.]onehub[.]com\/files\/<\/em> et de t\u00e9l\u00e9charger un fichier nomm\u00e9 “New Program ICC LTD.zip<\/em>“.<\/p>\n

\"sophos<\/a><\/p>\n

Figure 1 : Le site de partage de documents utilis\u00e9 pour diffuser le binaire Atera de l\u2019adversaire<\/em><\/p>\n

L\u2019archive “New Program ICC LTD.zip<\/em>” contenait un fichier d\u2019installation compress\u00e9 pour l\u2019outil RMM (Remote Machine Management<\/em>) l\u00e9gitime nomm\u00e9 Atera. L’installation d’Atera a utilis\u00e9 un compte de test enregistr\u00e9 avec une adresse email qui, selon nous, a \u00e9t\u00e9 compromise. Lors de l’installation de l’agent Atera, les acteurs malveillants ont utilis\u00e9 les commandes d’ex\u00e9cution \u00e0 distance d’Atera pour ex\u00e9cuter un script PowerShell (a.ps1)<\/em> dans le but de r\u00e9cup\u00e9rer les identifiants et de cr\u00e9er un fichier de sauvegarde de la ruche du registre SYSTEM. Cette activit\u00e9 de r\u00e9cup\u00e9ration d\u2019identifiants a \u00e9t\u00e9 d\u00e9tect\u00e9e et bloqu\u00e9e par les r\u00e8gles comportementales de Sophos :<\/p>\n

\n

\u201ccmdline\u201d: \u201cC:WINDOWSsystem32reg.exe\u201d save HKLMSYSTEM SystemBkup.hiv\u201d<\/em><\/p>\n<\/blockquote>\n

\"sophos<\/a><\/p>\n

Figure 2 : Lignes de commande ex\u00e9cut\u00e9es par l’outil Atera RMM<\/em><\/p>\n

Les actions post compromission d\u2019Atera comprenaient \u00e9galement :<\/p>\n