Le groupe de cyberespionnage lié à l’Iran, connu sous le nom de Seedworm, semble avoir ajouté un nouveau téléchargeur à son arsenal et avoir commencé à mener des attaques destructrices, rapportent des chercheurs en sécurité.

Également appelé MuddyWater, MERCURY et Static Kitten, le groupe de cyberespionnage a été initialement analysé en 2017. Seedworm se concentre sur le ciblage des organisations du Moyen-Orient, ou celles des régions voisines.

L’acteur de la menace est très actif et est connu pour l’utilisation d’un ensemble d’outils large et varié. Plus tôt ce mois-ci, le groupe a été observé ciblant activement la vulnérabilité Zerologon que Microsoft avait corrigée en août.

Selon des rapports récents de ClearSky et Symantec, MuddyWater a récemment ajouté à son arsenal un téléchargeur appelé PowGoop, qui a été utilisé plus tôt cette année dans des attaques utilisant le ransomware Thanos contre une organisation au Moyen-Orient.

PowGoop contient un chargeur de DLL et un téléchargeur basé sur PowerShell, ce dernier étant conçu pour décrypter et exécuter le premier. Le téléchargeur est un faux mécanisme de mise à jour de Google similaire au chargeur de DLL MoriAgent / PudPoul, qui était auparavant attribué à MuddyWater.

«Bien que nous ne puissions pas confirmer la connexion, nous pensons que les acteurs qui déploient le ransomware Thanos dans l’organisation gérée par l’État du Moyen-Orient ont également utilisé un téléchargeur que nous appelons PowGoop. Les acteurs utiliseraient le téléchargeur PowGoop pour contacter un serveur distant afin de télécharger et d’exécuter des scripts PowerShell supplémentaires », a noté Palo Alto Networks dans un rapport du 4 septembre.

Les attaques, qui ont été observées les 6 et 9 juillet 2020, comportent une variante de ransomware capable de mieux échapper aux outils d’analyse, de surveiller les périphériques de stockage nouvellement connectés et de remplacer le MBR, fonctionnalité qui ferait de Thanos plutôt destructif par nature.

La semaine dernière, dans un rapport liant PowGoop à MuddyWater, ClearSky a noté que le groupe de piratage apparaît …

Voir la source de cette publication