Le groupe d'espionnage MuddyWater a été détecté dans une campagne compromettant des systèmes gouvernementaux, des forces militaires et des télécommunications dans neuf pays du Moyen-Orient, d'Asie et d'Europe. La technique utilisée est le DLL side-loading, où des fichiers légitimes de Windows chargent des bibliothèques malveillantes pour voler des informations et maintenir un accès persistant. Il est recommandé de surveiller les démarrages de processus non autorisés.
Comment fonctionne le DLL side-loading dans l'attaque 🕵️
MuddyWater exploite des binaires signés de Windows qui chargent des DLL de manière non sécurisée. Ils placent une DLL malveillante avec le nom attendu dans le répertoire d'exécution, et le processus légitime la charge sans méfiance. Une fois à l'intérieur, ils déploient des outils comme ScreenConnect ou des backdoors personnalisées pour exfiltrer des données. La persistance est obtenue via des tâches planifiées ou des modifications du registre. Les secteurs touchés incluent la défense et les télécommunications.
Windows : le complice parfait (sans le vouloir) 🤦
Il s'avère que l'outil même de Microsoft est celui qui ouvre la porte. Les attaquants n'ont pas besoin d'exploits complexes : seulement un exécutable signé et une DLL renommée. C'est comme si le concierge de l'immeuble vous laissait passer parce que vous portez l'uniforme correct, même si le badge est faux. Pendant ce temps, les équipes informatiques examinent les logs à la recherche de quelque chose qui ne serait pas un processus normal de Windows. Ironie du système.