{"id":147630,"date":"2025-05-16T09:40:09","date_gmt":"2025-05-16T16:40:09","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=147630"},"modified":"2025-08-01T09:41:24","modified_gmt":"2025-08-01T16:41:24","slug":"threat-group-assessment-muddled-libra-2024","status":"publish","type":"post","link":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/threat-group-assessment-muddled-libra-2024\/","title":{"rendered":"\u00c9valuation de l\u2019acteur malveillant Muddled Libra (Mise \u00e0 jour du 16 mai 2025)"},"content":{"rendered":"<h2><a id=\"post-145193-_heading=h.rd2b4hh9aaic\"><\/a>Synth\u00e8se<\/h2>\n<p><strong>Mise \u00e0 jour du 16 mai 2025 :<\/strong><\/p>\n<p>Nous avons ajout\u00e9 une section suppl\u00e9mentaire \u00e0 cet article qui d\u00e9crit l\u2019\u00e9volution des activit\u00e9s de Muddled\u00a0Libra depuis le d\u00e9but de\u00a02024. Ce groupe est assez dynamique et, au fur et \u00e0 mesure de l\u2019arriv\u00e9e de ses membres et de leur d\u00e9part, sa base de connaissances et son ensemble de comp\u00e9tences \u00e9voluent naturellement. Sa bo\u00eete \u00e0 outils s\u2019est aujourd\u2019hui \u00e9largie\u00a0:<\/p>\n<ul>\n<li>Ing\u00e9nierie sociale visant les utilisateurs finaux et les services d\u2019assistance<\/li>\n<li>Hame\u00e7onnage traditionnel<\/li>\n<li>Acc\u00e8s privil\u00e9gi\u00e9 aux prestataires d\u2019externalisation des processus m\u00e9tier<\/li>\n<li>Affiliations de ransomwares \u00e0 des fins d\u2019extorsion<\/li>\n<\/ul>\n<p>Au croisement de l\u2019ing\u00e9nierie sociale sournoise et de l\u2019adaptation technologique souple se trouve Muddled\u00a0Libra. Gr\u00e2ce \u00e0 sa connaissance approfondie des technologies de l\u2019information d\u2019entreprise, ce groupe de menaces repr\u00e9sente un risque majeur, m\u00eame pour les organisations qui disposent de cyberd\u00e9fenses bien d\u00e9velopp\u00e9es.<\/p>\n<p>Muddled Libra est un adversaire m\u00e9thodique qui pourrait compromettre grandement les organisations dans les secteurs de l\u2019automatisation des logiciels, d\u2019externalisation des processus m\u00e9tier, des t\u00e9l\u00e9communications et des technologies.<\/p>\n<p>Les chercheurs et les consultants d\u2019Unit\u00a042 ont enqu\u00eat\u00e9 sur plus d\u2019une demi-douzaine d\u2019incidents li\u00e9s entre la mi-2022 et le d\u00e9but 2023, que nous avons attribu\u00e9s au groupe de cybercriminalit\u00e9 Muddled\u00a0Libra. Ce groupe cible de pr\u00e9f\u00e9rence les grandes entreprises d\u2019externalisation offrant leurs services aux institutions et personnes de grande valeur d\u00e9tenant des cryptomonnaies. Pour lutter contre Muddled Libra, il est essentiel de combiner les contr\u00f4les de s\u00e9curit\u00e9 stricts, une formation diligente de sensibilisation \u00e0 la s\u00e9curit\u00e9 et une surveillance vigilante.<\/p>\n<p>Les clients de Palo Alto Networks b\u00e9n\u00e9ficient d\u2019une protection contre les menaces d\u00e9crites dans ce blog gr\u00e2ce \u00e0 une architecture de s\u00e9curit\u00e9 moderne reposant sur <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">Cortex XSIAM<\/a> combin\u00e9 \u00e0 <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a>. En effet, le <a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\" target=\"_blank\" rel=\"noopener\">filtrage avanc\u00e9 d\u2019URL<\/a> et les services <a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\">Cloud-Delivered Security Services<\/a> de <a href=\"https:\/\/docs.paloaltonetworks.com\/cdss\" target=\"_blank\" rel=\"noopener\">DNS Security<\/a> peuvent contribuer \u00e0 la protection contre les infrastructures de commande et contr\u00f4le (C2), tandis que la technologie <a href=\"https:\/\/www.paloaltonetworks.com\/technologies\/app-id\">App-ID<\/a> peut limiter les services d\u2019anonymisation autoris\u00e9s \u00e0 se connecter au r\u00e9seau.<\/p>\n<h2><a id=\"post-145193-_heading=h.x2wnphszw959\"><\/a>Mise \u00e0 jour du 16\u00a0mai\u00a02025<\/h2>\n<p>Apr\u00e8s une p\u00e9riode d\u2019accalmie fin 2024, Muddled\u00a0Libra a repris ses activit\u00e9s. Unit\u00a042 est intervenu pour de nombreuses attaques tr\u00e8s m\u00e9diatis\u00e9es, tout en observant celles attribu\u00e9es au groupe parent de Muddled\u00a0Libra, Scattered Spider. Ces attaques s\u2019appuient notamment sur les techniques mises au point par Muddled\u00a0Libra.<\/p>\n<p>Muddled Libra fait parti d\u2019un groupe de cybercriminalit\u00e9 plus ou moins affili\u00e9 \u00e0 Scattered Spider, Octo Tempest, Oktapus et \u00e0 d\u2019autres acteurs. Scattered Spider doit sa r\u00e9silience \u00e0 l\u2019\u00e9tendue et \u00e0 la diversit\u00e9 de ses membres.<\/p>\n<p>Ce groupe a \u00e9volu\u00e9 sur les plateformes de communication Discord et Telegram, attirant des membres d\u2019horizons et d\u2019int\u00e9r\u00eats divers. Les attaquants de ce groupe disposent de diverses comp\u00e9tences sp\u00e9cifiques et ils collaborent \u00e9troitement pour affiner ces comp\u00e9tences afin de les vendre ou de les utiliser dans des cyberattaques. Les canaux qu\u2019ils utilisent vont des groupes ax\u00e9s sur la criminalit\u00e9, comme celui qu\u2019ils appellent The COM, aux groupes d\u2019amateurs de jeux en ligne populaires.<\/p>\n<p>\u00c0 l\u2019origine, les membres de Muddled Libra \u00e9taient sp\u00e9cialis\u00e9s dans l\u2019\u00e9change de cartes SIM (SIM swapping), le smishing et la connaissance approfondie des logiciels de gestion des syst\u00e8mes informatiques. Au fur et \u00e0 mesure de l\u2019arriv\u00e9e de membres et de leur d\u00e9part du groupe, Muddled Libra acquiert de nouvelles comp\u00e9tences et abandonne celles qui sont moins efficaces. La bo\u00eete \u00e0 outils du groupe s\u2019est \u00e9largie et comprend d\u00e9sormais l\u2019ing\u00e9nierie sociale visant les utilisateurs finaux et les services d\u2019assistance, l\u2019hame\u00e7onnage traditionnel, l\u2019acc\u00e8s privil\u00e9gi\u00e9 aux prestataires d\u2019externalisation des processus m\u00e9tier et les affiliations aux ransomwares.<\/p>\n<p>La nature souple et fluide de ce groupe le rend intrins\u00e8quement difficile \u00e0 d\u00e9manteler. Muddled Libra (voir <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/?p=145193\" target=\"_blank\" rel=\"noopener\">\u00c9valuation des menaces d\u2019Unit\u00a042<\/a> et <a href=\"https:\/\/unit42.paloaltonetworks.com\/muddled-libra-evolution-to-cloud\/\" target=\"_blank\" rel=\"noopener\">\u00c9tude Unit\u00a042 sur les attaques contre les CSP<\/a>) a vu plusieurs de ses principaux membres arr\u00eat\u00e9s au cours de l\u2019ann\u00e9e \u00e9coul\u00e9e. Cependant, d\u2019autres personnes poss\u00e9dant de nouvelles comp\u00e9tences et une connaissance approfondie des nouveaux secteurs ont rapidement pris leur place, et d\u2019autres encore ont cr\u00e9\u00e9 des groupes de menaces enti\u00e8rement nouveaux.<\/p>\n<p>Unit\u00a042 a observ\u00e9 la formation de nouvelles ramifications ayant des objectifs uniques de se d\u00e9velopper dans des secteurs jusqu\u2019alors inexplor\u00e9s. Ces nouveaux groupes utilisent une combinaison de techniques \u00e9prouv\u00e9es et nouvelles. Les secteurs cibles les plus convoit\u00e9s sont le commerce de d\u00e9tail et l\u2019h\u00f4tellerie. Par ailleurs, ces groupes peuvent cibler d\u2019autres secteurs et organisations sur un coup de t\u00eate. C\u2019est pourquoi les \u00e9quipes de s\u00e9curit\u00e9 de chaque secteur devraient renforcer leurs cyberd\u00e9fenses contre ces attaques.<\/p>\n<p>Le smishing n\u2019est plus actuel, et l\u2019acc\u00e8s initial s\u2019effectue d\u00e9sormais via l\u2019ing\u00e9nierie sociale. Les acteurs de la menace dirigent des attaques d\u2019ing\u00e9nierie sociale contre les services d\u2019assistance en se faisant passer pour des employ\u00e9s qui ont oubli\u00e9 leur mot de passe ou contre des employ\u00e9s directement, en pr\u00e9tendant faire partie du service d\u2019assistance de l\u2019entreprise.<\/p>\n<p>Une fois dans l\u2019environnement, les attaquants utilisent des outils de gestion \u00e0 distance gratuits ou compromis pour acc\u00e9der aux plateformes de gestion de la relation client (CRM) afin d\u2019exfiltrer des donn\u00e9es sensibles. Les attaques de Muddled Libra font \u00e9galement appel \u00e0 des outils d\u2019administration d\u2019environnements virtuels pour une perturbation maximale des activit\u00e9s. Ce groupe s\u2019est affili\u00e9 au groupe DragonForce, sp\u00e9cialis\u00e9 dans les ransomwares en tant que service (RaaS), afin d\u2019extorquer des fonds.<\/p>\n<h2><a id=\"post-145193-_heading=h.tkbs94t8u7fy\"><\/a>Aper\u00e7u des menaces<\/h2>\n<p>Le style d\u2019attaque d\u00e9finissant Muddled Libra est apparu sur le radar de la cybers\u00e9curit\u00e9 vers la fin de 2022 avec la publication du kit d\u2019hame\u00e7onnage 0ktapus, qui proposait un framework d\u2019h\u00e9bergement pr\u00e9configur\u00e9 et des mod\u00e8les group\u00e9s. Gr\u00e2ce \u00e0 un grand nombre de faux portails d\u2019authentification r\u00e9alistes et au ciblage par smishing, les attaquants ont pu recueillir rapidement des informations d\u2019identification et des codes d\u2019authentification multifacteur (MFA).<\/p>\n<p>La vitesse et l\u2019ampleur de ces attaques ont pris de court de nombreuses \u00e9quipes de s\u00e9curit\u00e9. Si le smishing n\u2019est pas nouveau, le framework 0ktapus a banalis\u00e9 la mise en place d\u2019une infrastructure habituellement complexe d\u2019une mani\u00e8re qui a permis \u00e0 des attaquants peu qualifi\u00e9s d\u2019obtenir un taux de r\u00e9ussite \u00e9lev\u00e9.<\/p>\n<p>Ces fonctionnalit\u00e9s comprenaient des mod\u00e8les pr\u00e9construits et un canal C2 int\u00e9gr\u00e9 via Telegram, le tout pour quelques centaines de dollars am\u00e9ricains seulement. Avec cette am\u00e9lioration, les cybercriminels ont pu lancer une campagne d\u2019attaque massive visant un vaste \u00e9ventail d\u2019organisations.<\/p>\n<p>\u00c9tant donn\u00e9 le nombre de cibles touch\u00e9es par ce kit,une certaine confusion a \u00e9t\u00e9 observ\u00e9e au sein de la communaut\u00e9 des chercheurs quant \u00e0 l\u2019attribution de ces attaques. Les rapports ant\u00e9rieurs de <a href=\"https:\/\/www.group-ib.com\/blog\/0ktapus\/\" target=\"_blank\" rel=\"noopener\">Group-IB<\/a>, de <a href=\"https:\/\/www.crowdstrike.com\/blog\/analysis-of-intrusion-campaign-targeting-telecom-and-bpo-companies\/\" target=\"_blank\" rel=\"noopener\">CrowdStrike<\/a> et d\u2019<a href=\"https:\/\/sec.okta.com\/scatterswine\" target=\"_blank\" rel=\"noopener\">Okta<\/a> ont document\u00e9 et associ\u00e9 un grand nombre de ces attaques avec les groupes d\u2019intrusion suivants : 0ktapus, Scattered Spider et Scatter Swine.<\/p>\n<h2><a id=\"post-145193-_heading=h.cuaz4l9tzf4x\"><\/a>Cycle d\u2019attaque<\/h2>\n<p>Bien que chaque incident soit unique, les chercheurs d\u2019Unit\u00a042 ont identifi\u00e9 suffisamment de points communs dans les tactiques, techniques et proc\u00e9dures (TTP) pour attribuer plusieurs incidents \u00e0 Muddled Libra. Son cycle d\u2019attaque est illustr\u00e9 \u00e0 la figure\u00a01.<\/p>\n<figure id=\"attachment_145209\" aria-describedby=\"caption-attachment-145209\" style=\"width: 700px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-145209 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/French-2024-Update-Muddled-Libra-Attack-Chain-With-Title-01-323x440.png\" alt=\"L'image 1 repr\u00e9sente la cha\u00eene d'attaque de Muddled Libra selon le cadre ATT&amp;CK de MITRE. Les \u00e9tapes 1 \u00e0 11 comprennent la reconnaissance, le d\u00e9veloppement des ressources, l'acc\u00e8s initial, la persistance, la d\u00e9fense, l'ovation, les informations d'identification, l'acc\u00e8s, la d\u00e9couverte, l'ex\u00e9cution, le mouvement lat\u00e9ral, la collecte et enfin l'exfiltration.\" width=\"700\" height=\"953\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/French-2024-Update-Muddled-Libra-Attack-Chain-With-Title-01-323x440.png 323w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/French-2024-Update-Muddled-Libra-Attack-Chain-With-Title-01-514x700.png 514w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/French-2024-Update-Muddled-Libra-Attack-Chain-With-Title-01-768x1046.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/French-2024-Update-Muddled-Libra-Attack-Chain-With-Title-01-1128x1536.png 1128w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/French-2024-Update-Muddled-Libra-Attack-Chain-With-Title-01-1504x2048.png 1504w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/French-2024-Update-Muddled-Libra-Attack-Chain-With-Title-01-scaled.png 1880w\" sizes=\"(max-width: 700px) 100vw, 700px\" \/><figcaption id=\"caption-attachment-145209\" class=\"wp-caption-text\">Figure 1. Cycle d\u2019attaque de Muddled Libra.<\/figcaption><\/figure>\n<p>Nous les avons mis en correspondance avec le framework MITRE ATT&amp;CK, ce qui est r\u00e9capitul\u00e9 ci-dessous.<\/p>\n<h3><a id=\"post-145193-_heading=h.9hiewe7pfcpc\"><\/a><strong>Reconnaissance<\/strong><\/h3>\n<p>Muddled Libra conna\u00eet toujours les organisations cibl\u00e9es dans les moindres d\u00e9tails, y compris les listes de leurs employ\u00e9s, les fonctions professionnelles et les num\u00e9ros de t\u00e9l\u00e9phone portable. Dans certains cas, ces donn\u00e9es ont probablement \u00e9t\u00e9 obtenues lors de compromissions ant\u00e9rieures des cibles en amont.<\/p>\n<p>Par ailleurs, les acteurs de la menace obtiennent souvent des packs d\u2019informations aupr\u00e8s de courtiers en donn\u00e9es illicites tels que <a href=\"https:\/\/therecord.media\/genesis-market-russian-market-2easy-shop-cybercrime-fraud\" target=\"_blank\" rel=\"noopener\">Genesis et Russian Markets, aujourd\u2019hui disparus<\/a>. Ces donn\u00e9es sont <a href=\"https:\/\/therecord.media\/redline-stealer-identified-as-primary-source-of-stolen-credentials-on-two-dark-web-markets\" target=\"_blank\" rel=\"noopener\">g\u00e9n\u00e9ralement r\u00e9colt\u00e9es \u00e0 partir d\u2019appareils infect\u00e9s<\/a>, qu'ils soient \u00e0 usage professionnel ou priv\u00e9, \u00e0 l\u2019aide de logiciels malveillants tels que RedLine Stealer.<\/p>\n<p>Avec l\u2019av\u00e8nement des politiques BYOD (Bring Your Own Device), puis la popularit\u00e9 des solutions de travail hybrides, les donn\u00e9es et les identifiants de l\u2019entreprise sont fr\u00e9quemment utilis\u00e9s et mis en cache sur les appareils personnels. La d\u00e9centralisation de la gestion et de la protection des ressources informatiques cr\u00e9e une opportunit\u00e9 de ciblage lucrative pour les logiciels malveillants d\u00e9robant des informations.<\/p>\n<h3><a id=\"post-145193-_heading=h.obd3pou2axkk\"><\/a><strong>D\u00e9veloppement des ressources<\/strong><\/h3>\n<p>L\u2019utilisation des domaines similaires dans les attaques de smishing est une caract\u00e9ristique classique de Muddled Libra. Cette tactique est efficace car les appareils mobiles raccourcissent souvent les liens dans les messages\u00a0SMS.<\/p>\n<p>Les premiers groupes d\u2019attaques attribu\u00e9s \u00e0 la campagne 0ktapus utilisaient syst\u00e9matiquement des domaines enregistr\u00e9s via Porkbun ou Namecheap et h\u00e9berg\u00e9s sur l\u2019infrastructure de Digital\u00a0Ocean. Ces domaines ont tendance \u00e0 \u00eatre de courte dur\u00e9e et sont utilis\u00e9s uniquement pendant la phase d\u2019acc\u00e8s initiale, puis rapidement supprim\u00e9s.<\/p>\n<p>Dans la plupart des investigations, Unit\u00a042 a constat\u00e9 que le kit d\u2019hame\u00e7onnage 0ktapus \u00e9tait utilis\u00e9 pour recueillir des identifiants. Group-IB a d\u00e9crit en d\u00e9tail ce kit polyvalent, qui est largement diffus\u00e9 dans le milieu criminel clandestin. Peu de comp\u00e9tences sont n\u00e9cessaires pour l\u2019installer et le configurer, ce qui en fait un outil id\u00e9al pour les attaques de smishing tr\u00e8s cibl\u00e9es.<\/p>\n<h3><a id=\"post-145193-_heading=h.jcmsnsdjls0m\"><\/a><strong>Acc\u00e8s initial<\/strong><\/h3>\n<p>Pour tous les incidents o\u00f9 Unit\u00a042 a pu d\u00e9terminer un vecteur d\u2019acc\u00e8s initial, le smishing et\/ou l\u2019ing\u00e9nierie sociale du service d\u2019assistance \u00e9taient impliqu\u00e9s. Dans la plupart des cas, l\u2019auteur de la menace a envoy\u00e9 un message d\u2019app\u00e2t directement sur les t\u00e9l\u00e9phones portables des employ\u00e9s cibl\u00e9s en les invitant \u00e0 mettre \u00e0 jour les informations de leur compte ou \u00e0 s\u2019authentifier \u00e0 nouveau \u00e0 une application de l\u2019entreprise. Ces messages contenaient un lien vers un domaine d\u2019entreprise usurp\u00e9, con\u00e7u pour imiter une page de connexion famili\u00e8re.<\/p>\n<h3><a id=\"post-145193-_heading=h.4mxxncx21ub8\"><\/a><strong>\u00c9tablissement de la persistance<\/strong><\/h3>\n<p>Muddled Libra s\u2019est particuli\u00e8rement attach\u00e9 \u00e0 maintenir l\u2019acc\u00e8s \u00e0 des environnements cibl\u00e9s. Alors qu\u2019il est courant pour les acteurs de la menace d\u2019utiliser une version gratuite ou de d\u00e9monstration d\u2019un outil de surveillance et de gestion \u00e0 distance (RMM) lors d\u2019intrusions, Muddled Libra a souvent install\u00e9 une demi-douzaine de ces utilitaires, voire plus. Ainsi, m\u00eame si l\u2019un de ses membres \u00e9tait d\u00e9couvert, les autres continuaient d\u2019avoir une porte d\u00e9rob\u00e9e dans l\u2019environnement.<\/p>\n<p>L\u2019utilisation d\u2019outils RMM commerciaux est particuli\u00e8rement probl\u00e9matique, car ces outils sont des applications l\u00e9gitimes et essentielles pour l\u2019entreprise, que Muddled Libra utilise pour ses intrusions. Ces outils peuvent \u00eatre pr\u00e9sents de mani\u00e8re l\u00e9gitime au sein de l\u2019organisation et les \u00e9quipes de s\u00e9curit\u00e9 doivent \u00e9valuer les risques d\u2019un blocage pur et simple par rapport \u00e0 un contr\u00f4le minutieux de leur utilisation. Parmi les outils observ\u00e9s figurent Zoho Assist, AnyDesk, Splashtop, TeamViewer, ITarian, FleetDeck, ASG Remote Desktop, RustDesk et ManageEngine RMM.<\/p>\n<p>Aucun de ces outils n\u2019est pas malveillant en soi et ils sont fr\u00e9quemment utilis\u00e9s dans l\u2019administration quotidienne de nombreux r\u00e9seaux d\u2019entreprise. Unit\u00a042 recommande aux organisations de bloquer par signature tout outil\u00a0RMM dont l\u2019utilisation n\u2019est pas autoris\u00e9e au sein de l\u2019entreprise.<\/p>\n<h3><a id=\"post-145193-_heading=h.mftmsx9x7s86\"><\/a><strong>Contournement des d\u00e9fenses<\/strong><\/h3>\n<p>D\u00e9montrant sa ma\u00eetrise des diff\u00e9rents contr\u00f4les de s\u00e9curit\u00e9, Muddled Libra a \u00e9chapp\u00e9 aux mesures de d\u00e9fense habituelles.<\/p>\n<p>Ses actions comprenaient les \u00e9l\u00e9ments suivants\u00a0:<\/p>\n<ul>\n<li>D\u00e9sactivation de l\u2019antivirus et des pare-feu bas\u00e9s sur l\u2019h\u00f4te<\/li>\n<li>Tentative de suppression des profils de pare-feu<\/li>\n<li>Cr\u00e9ation d\u2019exclusions d\u2019\u00e9quipes de s\u00e9curit\u00e9<\/li>\n<li>D\u00e9sactivation ou d\u00e9sinstallation de l\u2019outil EDR et d\u2019autres produits de surveillance<\/li>\n<\/ul>\n<p>Les attaquants ont \u00e9galement r\u00e9activ\u00e9 et utilis\u00e9 des comptes Active Directory existants afin d\u2019\u00e9viter de d\u00e9clencher les r\u00e8gles courantes de surveillance de la gestion des informations et des \u00e9v\u00e9nements de s\u00e9curit\u00e9 (SIEM). Ils ont \u00e9galement \u00e9t\u00e9 observ\u00e9s en train d\u2019op\u00e9rer dans les consoles d\u2019administration des syst\u00e8mes de d\u00e9tection et de r\u00e9ponse des terminaux (EDR) afin de supprimer les alertes.<\/p>\n<p>Muddled Libra a fait preuve de prudence en mati\u00e8re de s\u00e9curit\u00e9 op\u00e9rationnelle, utilisant r\u00e9guli\u00e8rement des services commerciaux de r\u00e9seaux priv\u00e9s virtuels (VPN) pour masquer son emplacement g\u00e9ographique et tenter de se fondre dans le trafic l\u00e9gitime. Il semblerait que le VPN Mullvad a \u00e9t\u00e9 privil\u00e9gi\u00e9 dans la plupart des incidents examin\u00e9s par Unit\u00a042, mais de nombreux autres fournisseurs ont \u00e9galement \u00e9t\u00e9 utilis\u00e9s, comme ExpressVPN, NordVPN, Ultrasurf, Easy VPN et ZenMate.<\/p>\n<p>Les chercheurs d\u2019Unit\u00a042 ont \u00e9galement observ\u00e9 l\u2019utilisation de services de proxy r\u00e9sidentiel rotatif. Comme l\u2019a signal\u00e9 <a href=\"https:\/\/krebsonsecurity.com\/2021\/03\/is-your-browser-extension-a-botnet-backdoor\/\" target=\"_blank\" rel=\"noopener\">Brian Krebs en 2021<\/a> les services de proxy r\u00e9sidentiel dissimulent g\u00e9n\u00e9ralement leur code dans des extensions de navigateur, ce qui permet aux op\u00e9rateurs de louer des connexions r\u00e9sidentielles \u00e0 des fins l\u00e9gitimes ou malveillantes.<\/p>\n<h3><a id=\"post-145193-_heading=h.qlskquv0nwq7\"><\/a><strong>Acc\u00e8s aux identifiants<\/strong><\/h3>\n<p>Apr\u00e8s avoir captur\u00e9 les identifiants \u00e0 utiliser pour l\u2019acc\u00e8s initial, l\u2019attaquant proc\u00e9dait de l\u2019une des mani\u00e8res suivantes. Dans le premier cas, il poursuivait le processus d\u2019authentification \u00e0 partir d\u2019une machine qu\u2019il contr\u00f4lait et demandait imm\u00e9diatement un code d\u2019authentification multifacteur (MFA). Dans l\u2019autre cas, il g\u00e9n\u00e9rait une s\u00e9rie interminable de demandes MFA jusqu\u2019\u00e0 ce que l\u2019utilisateur en accepte une par lassitude ou frustration (\u00e9galement appel\u00e9 \u00ab\u00a0MFA bombing\u00a0\u00bb).<\/p>\n<p>Dans les cas o\u00f9 le bombardement de l\u2019authentification multifacteur \u00e9chouait, l\u2019attaquant contactait le service d\u2019assistance de l\u2019organisation en se faisant passer pour la victime. Il affirmait par exemple que son t\u00e9l\u00e9phone \u00e9tait inutilisable ou perdu, et demandait \u00e0 enregistrer un nouvel appareil pour l\u2019authentification multifacteur, contr\u00f4l\u00e9 par l\u2019attaquant.<\/p>\n<p>Les intrusions par ing\u00e9nierie sociale de Muddled Libra ont connu un succ\u00e8s remarquable. Dans nombre de cas examin\u00e9s, le groupe a fait preuve d\u2019une aisance inhabituelle lors de ses \u00e9changes t\u00e9l\u00e9phoniques avec le service d\u2019assistance et d\u2019autres employ\u00e9s, les convainquant de commettre des actes dangereux.<\/p>\n<p>Apr\u00e8s \u00eatre entr\u00e9 dans le syst\u00e8me d\u2019information, Muddled Libra s\u2019est empress\u00e9 d\u2019\u00e9lever le niveau des acc\u00e8s obtenus. Les outils standards de vol d\u2019identifiants utilis\u00e9s au cours de cette phase \u00e9taient en autres Mimikatz, ProcDump, DCSync, Raccoon Stealer et LAPSToolkit. Lorsque les attaquants n\u2019\u00e9taient pas en mesure de localiser rapidement des identifiants de comptes \u00e0 privil\u00e8ges, ils utilisaient alors Impacket, MIT Kerberos Ticket Manager et NTLM Encoder\/Decoder.<\/p>\n<p>Dans certains cas, Muddled Libra avait pris l\u2019initiative inhabituelle d\u2019utiliser des outils sp\u00e9cialis\u00e9s pour rechercher directement des identifiants dans la m\u00e9moire \u00e0 l\u2019aide de MAGNET RAM Capture et Volatility. Comme il s\u2019agit d\u2019outils l\u00e9gitimes d\u2019analyse forensique que Muddled Libra utilise souvent pour ses intrusions, les \u00e9quipes de s\u00e9curit\u00e9 devraient examiner attentivement les inconv\u00e9nients de leur blocage, notamment la possibilit\u00e9 que l\u2019activit\u00e9 de l\u2019\u00e9quipe de s\u00e9curit\u00e9 g\u00e9n\u00e8re des alertes faussement positives.<\/p>\n<p>Ce point est particuli\u00e8rement important pour les \u00e9quipes de s\u00e9curit\u00e9. M\u00eame si les comptes d\u2019utilisateurs sont prot\u00e9g\u00e9s par une gestion des acc\u00e8s privil\u00e9gi\u00e9s, les terminaux h\u00e9bergent souvent des identifiants avec des privil\u00e8ges \u00e9lev\u00e9s dans le cache pour administrer le syst\u00e8me ou ex\u00e9cuter des services. Il convient de veiller \u00e0 ce que les identifiants privil\u00e9gi\u00e9s ne disposent que des autorisations n\u00e9cessaires \u00e0 l\u2019ex\u00e9cution des fonctions pr\u00e9vues et \u00e0 ce qu\u2019ils soient surveill\u00e9s \u00e9troitement afin de d\u00e9tecter tout comportement inhabituel.<\/p>\n<h3><a id=\"post-145193-_heading=h.67ef4h63spz4\"><\/a><strong>D\u00e9couverte<\/strong><\/h3>\n<p>Les m\u00e9thodes de d\u00e9couverte de Muddled Libra sont coh\u00e9rentes d\u2019un cas \u00e0 un autre. Nos investigations ont r\u00e9v\u00e9l\u00e9 que ce groupe a utilis\u00e9 des outils l\u00e9gitimes de test d\u2019intrusion et bien connus, afin de mapper l\u2019environnement et d\u2019identifier les principales cibles. La bo\u00eete \u00e0 outils de Muddled Libra comprenait SharpHound, ADRecon, AD Explorer, Angry IP Scanner, Angry Port Scanner et CIMplant.<\/p>\n<p>Par ailleurs, il s\u2019est av\u00e9r\u00e9 que Muddled Libra ma\u00eetrise parfaitement les outils commerciaux d\u2019administration de syst\u00e8mes tels que ManageEngine, LANDESK et PDQ Inventory pour la d\u00e9couverte et l\u2019automatisation. Dans des environnements virtuels, le groupe a \u00e9galement utilis\u00e9 VMware PowerCLI et RVTools.<\/p>\n<p>Les \u00e9quipes de s\u00e9curit\u00e9 doivent \u00eatre particuli\u00e8rement vigilantes quant aux analyses de r\u00e9seau non autoris\u00e9es et \u00e0 l\u2019acc\u00e8s rapide et inhabituel \u00e0 plusieurs syst\u00e8mes, ou \u00e0 tout acc\u00e8s qui traverse les segments logiques de l\u2019entreprise.<\/p>\n<h3><a id=\"post-145193-_heading=h.3u7lgunb00vd\"><\/a><strong>Ex\u00e9cution<\/strong><\/h3>\n<p>D\u2019apr\u00e8s nos investigations, Muddled Libra semblait s\u2019int\u00e9resser principalement au vol de donn\u00e9es et d\u2019identifiants, et nous avons rarement constat\u00e9 des ex\u00e9cutions \u00e0 distance. Le cas \u00e9ch\u00e9ant, le groupe ex\u00e9cutait le programme avec Sysinternals PsExec ou Impacket. Les identifiants ou les hachages d\u2019authentification captur\u00e9s \u00e9taient alors utilis\u00e9s pour l\u2019\u00e9l\u00e9vation des privil\u00e8ges.<\/p>\n<h3><a id=\"post-145193-_heading=h.wrdctltpoj2y\"><\/a><strong>Lat\u00e9ralisation<\/strong><\/h3>\n<p>Pour la lat\u00e9ralisation, Muddled Libra a pr\u00e9f\u00e9r\u00e9 utiliser le protocole de bureau \u00e0 distance (RDP) \u00e0 partir des machines initialement compromises. Cette approche a permis de r\u00e9duire au minimum les artefacts du r\u00e9seau externe pouvant \u00eatre d\u00e9couverts dans les journaux et susceptibles d\u2019alerter les \u00e9quipes de s\u00e9curit\u00e9 et d\u2019aider les investigateurs \u00e0 d\u00e9terminer l\u2019origine du probl\u00e8me.<\/p>\n<h3><a id=\"post-145193-_heading=h.ojaav2pdfb0a\"><\/a><strong>Collecte<\/strong><\/h3>\n<p>Muddled Libra semble conna\u00eetre parfaitement la gestion des donn\u00e9es d\u2019entreprise. Ses membres ont r\u00e9ussi \u00e0 localiser des donn\u00e9es sensibles sur les machines des victimes parmi un grand nombre de r\u00e9f\u00e9rentiels de donn\u00e9es courants, structur\u00e9s ou non, dont les suivants\u00a0:<\/p>\n<ul>\n<li>Confluence<\/li>\n<li>Git<\/li>\n<li>Elastic<\/li>\n<li>Suite Microsoft Office\u00a0365 (par exemple, SharePoint et Outlook)<\/li>\n<li>Plateformes de messagerie internes<\/li>\n<\/ul>\n<p>Les attaquants ont \u00e9galement localis\u00e9 dans l\u2019environnement de la victime des donn\u00e9es provenant d\u2019applications courantes de service d\u2019assistance telles que Zendesk et Jira. Les donn\u00e9es extraites comprenaient des identifiants permettant de compromettre davantage les syst\u00e8mes. En outre, ils visaient directement les informations sensibles et confidentielles.<\/p>\n<p>Les chercheurs d\u2019Unit\u00a042 ont \u00e9galement constat\u00e9 que le groupe a utilis\u00e9 l\u2019outil d\u2019exploration de donn\u00e9es open-source Snaffler et d\u2019autres outils natifs pour rechercher des mots-cl\u00e9s tels que *<span style=\"font-family: 'courier new', courier, monospace;\">password<\/span>* et <span style=\"font-family: 'courier new', courier, monospace;\">securestring<\/span> dans les registres, les lecteurs locaux et les partages r\u00e9seau. Les donn\u00e9es compromises ont ensuite \u00e9t\u00e9 extraites et archiv\u00e9es en vue de leur exfiltration \u00e0 l\u2019aide de WinRAR ou de PeaZip.<\/p>\n<p>Dans le cadre d\u2019une strat\u00e9gie plus large de gestion et de classification des donn\u00e9es, les \u00e9quipes de s\u00e9curit\u00e9 devraient r\u00e9guli\u00e8rement effectuer des recherches par mots-cl\u00e9s dans leurs propres environnements afin d\u2019identifier les donn\u00e9es et les identifiants stock\u00e9s de mani\u00e8re inappropri\u00e9e.<\/p>\n<h3><a id=\"post-145193-_heading=h.29dn9m7uywqs\"><\/a><strong>Exfiltration<\/strong><\/h3>\n<p>Dans plusieurs cas, Muddled Libra a tent\u00e9 d\u2019\u00e9tablir des proxy invers\u00e9s (reverse proxy) ou des tunnels SSH (Secure Shell) \u00e0 des fins de commande et de contr\u00f4le ou d\u2019exfiltration. Muddled Libra a \u00e9galement utilis\u00e9 des sites de transfert de fichiers courants tels que <span style=\"font-family: 'courier new', courier, monospace;\">put[.]io, transfer[.]sh, wasabi[.]com<\/span> ou <span style=\"font-family: 'courier new', courier, monospace;\">gofile[.]io<\/span> afin d\u2019exfiltrer des donn\u00e9es et d\u2019obtenir des outils d\u2019attaque. Nous avons \u00e9galement observ\u00e9 l\u2019utilisation de Cyberduck comme agent de transfert de fichiers.<\/p>\n<h3><a id=\"post-145193-_heading=h.399psukd8u73\"><\/a><strong>Impact<\/strong><\/h3>\n<p>L\u2019impact qu\u2019Unit\u00a042 a pu observer directement regroupait le vol de donn\u00e9es sensibles et\/ou l\u2019utilisation par Muddled Libra d\u2019une infrastructure organisationnelle de confiance pour des attaques ult\u00e9rieures contre les clients en aval.<\/p>\n<h2><a id=\"post-145193-_heading=h.y72th8g2ud0a\"><\/a>Conclusion et mesures de neutralisation<\/h2>\n<p>Muddled Libra est un adversaire m\u00e9thodique qui pourrait compromettre grandement les organisations dans les secteurs de l\u2019automatisation des logiciels, d\u2019externalisation des processus m\u00e9tier, des t\u00e9l\u00e9communications et des technologies. Ses membres ma\u00eetrisent toute une s\u00e9rie de disciplines li\u00e9es \u00e0 la s\u00e9curit\u00e9, capables de se d\u00e9velopper dans des environnements relativement s\u00fbrs et d\u2019ex\u00e9cuter rapidement des cycles d\u2019attaques d\u00e9vastatrices.<\/p>\n<p>Muddled Libra n\u2019apporte rien de particuli\u00e8rement nouveau dans le monde de cybercriminalit\u00e9, si ce n\u2019est sa capacit\u00e9 redoutable \u00e0 ficeler ensemble les faiblesses de ses victimes avec un effet d\u00e9sastreux. Les \u00e9quipes de s\u00e9curit\u00e9 doivent combiner une technologie de pointe et une hygi\u00e8ne de s\u00e9curit\u00e9 exhaustive, ainsi qu\u2019une surveillance stricte des menaces externes et des \u00e9v\u00e9nements internes. Le risque \u00e9lev\u00e9 de perte de donn\u00e9es internes et de donn\u00e9es relatives aux clients incite fortement \u00e0 moderniser les programmes de s\u00e9curit\u00e9 de l\u2019information.<\/p>\n<p>En plus des recommandations de neutralisation incluses dans les sous-sections du cycle d\u2019attaque ci-dessus, nous recommandons aux organisations les mesures suivantes\u00a0:<\/p>\n<ul>\n<li>Mettre en \u0153uvre l\u2019authentification multifacteur (MFA) et l\u2019authentification unique (SSO) dans la mesure du possible, de pr\u00e9f\u00e9rence Fast Identity Online (FIDO). Dans les cas que nous avons examin\u00e9s, les membres de Muddled Libra ont eu le plus de succ\u00e8s lorsqu\u2019ils ont convaincu les employ\u00e9s de les aider \u00e0 contourner l\u2019authentification multifacteur. Lorsqu\u2019ils n\u2019y parviennent pas, ils semblent se tourner vers d\u2019autres cibles.<\/li>\n<li>Les \u00e9quipes de s\u00e9curit\u00e9 doivent \u00e9galement r\u00e9fl\u00e9chir \u00e0 la meilleure fa\u00e7on de mettre en \u0153uvre les alertes de s\u00e9curit\u00e9 et le verrouillage des comptes en cas d\u2019\u00e9checs r\u00e9p\u00e9t\u00e9s de l\u2019authentification multifacteur.<\/li>\n<li>Mettre en place une formation compl\u00e8te de sensibilisation des utilisateurs. Muddled Libra se concentre particuli\u00e8rement sur l\u2019ing\u00e9nierie sociale du service d\u2019assistance et d\u2019autres employ\u00e9s par t\u00e9l\u00e9phone et par SMS. Il est essentiel de former les employ\u00e9s \u00e0 l\u2019identification des contacts suspects sans l\u2019utilisation de messagerie.<\/li>\n<li>En cas de compromission, supposer que l\u2019auteur de la menace conna\u00eet parfaitement le principe des r\u00e9ponses \u00e0 incident (IR). Envisager de mettre en place des m\u00e9canismes de r\u00e9ponse hors bande (OOB).<\/li>\n<li>S\u2019assurer que la s\u00e9curit\u00e9 relative aux identifiants est \u00e0 jour. N\u2019accorder l\u2019acc\u00e8s que lorsque c\u2019est n\u00e9cessaire et pour la dur\u00e9e requise.<\/li>\n<li>Pour se d\u00e9fendre contre les attaquants qualifi\u00e9s, il est important de surveiller et de g\u00e9rer l\u2019acc\u00e8s aux d\u00e9fenses et aux contr\u00f4les critiques. Les droits doivent \u00eatre limit\u00e9s au strict n\u00e9cessaire pour chaque fonction. Les outils de d\u00e9tection et de r\u00e9ponse aux menaces sur les identit\u00e9s (ITDR) tels que <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> et <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">Cortex XSIAM<\/a> doivent \u00eatre utilis\u00e9s pour surveiller les comportements inhabituels.<\/li>\n<li>Les \u00e9quipes de s\u00e9curit\u00e9 doivent limiter les services d\u2019anonymisation autoris\u00e9s \u00e0 se connecter au r\u00e9seau, id\u00e9alement au niveau du pare-feu, en utilisant <a href=\"https:\/\/www.paloaltonetworks.com\/technologies\/app-id\" target=\"_blank\" rel=\"noopener\">App-ID<\/a>.<\/li>\n<\/ul>\n<p>Pour se d\u00e9fendre contre les menaces d\u00e9crites dans ce blog, Palo Alto Networks recommande aux entreprises d\u2019utiliser les fonctionnalit\u00e9s suivantes\u00a0:<\/p>\n<ul>\n<li>S\u00e9curit\u00e9 du r\u00e9seau\u00a0: assur\u00e9e par un pare-feu de nouvelle g\u00e9n\u00e9ration (NGFW) comprenant le machine learning et les meilleurs services de s\u00e9curit\u00e9 fournis dans le cloud. Cela inclut, par exemple, la pr\u00e9vention des menaces, le filtrage des URL, la s\u00e9curit\u00e9 DNS et un moteur de pr\u00e9vention des logiciels malveillants capable d\u2019identifier et de bloquer les \u00e9chantillons et l\u2019infrastructure malveillants.<\/li>\n<li>S\u00e9curit\u00e9 des terminaux\u00a0: assur\u00e9e par une solution XDR capable d\u2019identifier les codes malveillants gr\u00e2ce \u00e0 l\u2019utilisation du machine learning et de l\u2019analyse comportementale avanc\u00e9s. Cette solution doit \u00eatre configur\u00e9e pour agir et bloquer les menaces en temps r\u00e9el, d\u00e8s qu\u2019elles sont identifi\u00e9es.<\/li>\n<li>Automatisation de la s\u00e9curit\u00e9\u00a0: assur\u00e9e par une solution XSOAR ou XSIAM capable de fournir aux analystes du SOC une compr\u00e9hension globale de la menace d\u00e9riv\u00e9e en assemblant les donn\u00e9es obtenues \u00e0 partir des terminaux, du r\u00e9seau, du cloud et des syst\u00e8mes d\u2019identit\u00e9.<\/li>\n<\/ul>\n<p>Vous pensez que votre entreprise a \u00e9t\u00e9 compromise\u00a0? Vous devez faire face \u00e0 une urgence\u00a0? Contactez <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">l\u2019\u00e9quipe Unit\u00a042 de r\u00e9ponse \u00e0 incident<\/a> ou composez l\u2019un des num\u00e9ros suivants\u00a0:<\/p>\n<ul>\n<li>Am\u00e9rique du Nord Par t\u00e9l\u00e9phone\u00a0: 866.486.4842 (866.4.UNIT42)<\/li>\n<li>EMEA\u00a0: +31\u00a020\u00a0299\u00a03130<\/li>\n<li>APAC\u00a0: +65\u00a06983\u00a08730<\/li>\n<li>Japon\u00a0: +81\u00a050\u00a01790\u00a00200<\/li>\n<\/ul>\n<h2><a id=\"post-145193-_heading=h.txzgr7qfc0h4\"><\/a>Indicateurs de compromission<\/h2>\n<p>Adresses\u00a0IP observ\u00e9es au cours de cette activit\u00e9<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">104.247.82[.]11<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">105.101.56[.]49<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">105.158.12[.]236<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">134.209.48[.]68<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">137.220.61[.]53<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">138.68.27[.]0<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">146.190.44[.]66<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">149.28.125[.]96<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">157.245.4[.]113<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">159.223.208[.]47<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">159.223.238[.]0<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">162.19.135[.]215<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">164.92.234[.]104<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">165.22.201[.]77<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">167.99.221[.]10<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">172.96.11[.]245<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">185.56.80[.]28<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">188.166.92[.]55<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">193.149.129[.]177<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">207.148.0[.]54<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">213.226.123[.]104<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">35.175.153[.]217<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">45.156.85[.]140<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">45.32.221[.]250<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">64.227.30[.]114<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">79.137.196[.]160<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">92.99.114[.]231<\/span><\/li>\n<\/ul>\n<h2><a id=\"post-145193-_heading=h.r5p4uwbkwabd\"><\/a>Pour aller plus loin<\/h2>\n<ul>\n<li><a href=\"https:\/\/playlist.megaphone.fm\/?e=CYBW2420634274&amp;start=855&amp;utm_content=261841717&amp;utm_medium=social&amp;utm_source=linkedinpanw_channel=lcp-10454826?utm_source=linkedin-unit42-global&amp;utm_medium=social\" target=\"_blank\" rel=\"noopener\">Discussion concernant Muddled Libra avec Stephanie Regan, Unit 42 Senior Consultant<\/a> \u2013 Threat Vector Podcast, Unit 42 on CyberWire Daily<\/li>\n<li><a href=\"https:\/\/www.youtube.com\/watch?v=Znq1fgMSFJs&amp;list=PLaKGTLgARHpO1zjPmTlWuYsYEKR0SKUPa&amp;index=30\" target=\"_blank\"  rel=\"wpdevart_lightbox_video noopener\" >Exposer les tactiques m\u00e9ticuleuses de Muddled Libra avec Kristopher Russo, Unit 42 Senior Researcher<\/a> \u2013 Threat Vector Podcast, Unit 42 on CyberWire Daily<\/li>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/muddled-libra-evolution-to-cloud\/\" target=\"_blank\" rel=\"noopener\">L\u2019\u00e9volution de Muddled Libra dans le cloud<\/a> \u2013 Unit 42, Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/www.group-ib.com\/blog\/0ktapus\/\" target=\"_blank\" rel=\"noopener\">Faisons r\u00f4tir 0ktapus\u00a0: la campagne de phishing contre les identifiants Okta<\/a>, Group-IB<\/li>\n<li><a href=\"https:\/\/www.crowdstrike.com\/blog\/analysis-of-intrusion-campaign-targeting-telecom-and-bpo-companies\/\" target=\"_blank\" rel=\"noopener\">Ceci n\u2019est pas simulation\u00a0: les investigations de CrowdStrike r\u00e9v\u00e8lent une campagne d\u2019intrusion ciblant les entreprises de t\u00e9l\u00e9communication et les services BPO<\/a>, CrowdStrike<\/li>\n<li><a href=\"https:\/\/sec.okta.com\/scatterswine\" target=\"_blank\" rel=\"noopener\">D\u00e9tecter Scatter Swine\u00a0: d\u00e9couvrez une campagne de phishing implacable<\/a>, Okta<\/li>\n<li><a href=\"https:\/\/www.mandiant.com\/resources\/blog\/hunting-attestation-signed-malware\" target=\"_blank\" rel=\"noopener\">Je jure solennellement que mon chauffeur ne pr\u00e9pare rien de bon\u00a0: \u00e0 la recherche de logiciels malveillants sign\u00e9s par une attestation<\/a>, Mandiant<\/li>\n<li><a href=\"https:\/\/krebsonsecurity.com\/2021\/03\/is-your-browser-extension-a-botnet-backdoor\/\" target=\"_blank\" rel=\"noopener\">Votre extension de navigateur est-elle une porte d\u00e9rob\u00e9e de botnet\u00a0?<\/a> Krebs on Security<\/li>\n<li><a href=\"https:\/\/therecord.media\/genesis-market-russian-market-2easy-shop-cybercrime-fraud\" target=\"_blank\" rel=\"noopener\">La suspicion p\u00e8se sur les concurrents de Genesis Market \u00e0 la suite d\u2019une enqu\u00eate du FBI<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Entre autres tactiques avanc\u00e9es, Muddled Libra utilise le kit d\u2019hame\u00e7onnage 0ktapus. Nous d\u00e9crivons en d\u00e9tail nos observations de ses activit\u00e9s en nous appuyant sur le framework MITRE\u00a0ATT&#038;CK.<\/p>\n","protected":false},"author":359,"featured_media":141660,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8823,8787,8769],"tags":[9260,9261,9262,9263,9264,9265,9266,9267,9268,9187],"product_categories":[8956,8973,8989,8955,9053,9064,9068,9083,9151],"coauthors":[3154,3754,3984],"class_list":["post-147630","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-threat-actor-groups-fr","category-malware-fr","category-top-cyberthreats-fr","tag-0ktapus-fr","tag-alphv-fr","tag-app-id-fr","tag-blackcat-ransomware-fr","tag-mitre-fr","tag-muddled-libra-fr","tag-phishing-fr","tag-scatter-swine-fr","tag-scattered-spider-fr","tag-social-engineering-fr","product_categories-advanced-dns-security-fr","product_categories-advanced-url-filtering-fr","product_categories-app-id-fr","product_categories-cloud-delivered-security-services-fr","product_categories-cortex-xdr-fr","product_categories-cortex-xsiam-fr","product_categories-cortex-xsoar-fr","product_categories-next-generation-firewall-fr","product_categories-unit-42-incident-response-fr"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>\u00c9valuation de l\u2019acteur malveillant Muddled Libra (Mise \u00e0 jour du 16 mai 2025)<\/title>\n<meta name=\"description\" content=\"Entre autres tactiques avanc\u00e9es, Muddled Libra utilise le kit d\u2019hame\u00e7onnage 0ktapus. Nous d\u00e9crivons en d\u00e9tail nos observations de ses activit\u00e9s en nous appuyant sur le framework MITRE\u00a0ATT&amp;CK. Entre autres tactiques avanc\u00e9es, Muddled Libra utilise le kit d\u2019hame\u00e7onnage 0ktapus. Nous d\u00e9crivons en d\u00e9tail nos observations de ses activit\u00e9s en nous appuyant sur le framework MITRE\u00a0ATT&amp;CK.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/threat-group-assessment-muddled-libra-2024\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"\u00c9valuation de l\u2019acteur malveillant Muddled Libra (Mise \u00e0 jour du 16 mai 2025)\" \/>\n<meta property=\"og:description\" content=\"Entre autres tactiques avanc\u00e9es, Muddled Libra utilise le kit d\u2019hame\u00e7onnage 0ktapus. Nous d\u00e9crivons en d\u00e9tail nos observations de ses activit\u00e9s en nous appuyant sur le framework MITRE\u00a0ATT&amp;CK. Entre autres tactiques avanc\u00e9es, Muddled Libra utilise le kit d\u2019hame\u00e7onnage 0ktapus. Nous d\u00e9crivons en d\u00e9tail nos observations de ses activit\u00e9s en nous appuyant sur le framework MITRE\u00a0ATT&amp;CK.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/threat-group-assessment-muddled-libra-2024\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-05-16T16:40:09+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-08-01T16:41:24+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/05\/03-1-Muddle-Libra-1920x900-1.png\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Amer Elsad, Kristopher Russo, Austin Dever\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"\u00c9valuation de l\u2019acteur malveillant Muddled Libra (Mise \u00e0 jour du 16 mai 2025)","description":"Entre autres tactiques avanc\u00e9es, Muddled Libra utilise le kit d\u2019hame\u00e7onnage 0ktapus. Nous d\u00e9crivons en d\u00e9tail nos observations de ses activit\u00e9s en nous appuyant sur le framework MITRE\u00a0ATT&CK. Entre autres tactiques avanc\u00e9es, Muddled Libra utilise le kit d\u2019hame\u00e7onnage 0ktapus. Nous d\u00e9crivons en d\u00e9tail nos observations de ses activit\u00e9s en nous appuyant sur le framework MITRE\u00a0ATT&CK.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/threat-group-assessment-muddled-libra-2024\/","og_locale":"fr_FR","og_type":"article","og_title":"\u00c9valuation de l\u2019acteur malveillant Muddled Libra (Mise \u00e0 jour du 16 mai 2025)","og_description":"Entre autres tactiques avanc\u00e9es, Muddled Libra utilise le kit d\u2019hame\u00e7onnage 0ktapus. Nous d\u00e9crivons en d\u00e9tail nos observations de ses activit\u00e9s en nous appuyant sur le framework MITRE\u00a0ATT&CK. Entre autres tactiques avanc\u00e9es, Muddled Libra utilise le kit d\u2019hame\u00e7onnage 0ktapus. Nous d\u00e9crivons en d\u00e9tail nos observations de ses activit\u00e9s en nous appuyant sur le framework MITRE\u00a0ATT&CK.","og_url":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/threat-group-assessment-muddled-libra-2024\/","og_site_name":"Unit 42","article_published_time":"2025-05-16T16:40:09+00:00","article_modified_time":"2025-08-01T16:41:24+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/05\/03-1-Muddle-Libra-1920x900-1.png","type":"image\/png"}],"author":"Amer Elsad, Kristopher Russo, Austin Dever","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/threat-group-assessment-muddled-libra-2024\/#article","isPartOf":{"@id":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/threat-group-assessment-muddled-libra-2024\/"},"author":{"name":"Samantha Stallings","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/02432a76cded81307123196237e2c981"},"headline":"\u00c9valuation de l\u2019acteur malveillant Muddled Libra (Mise \u00e0 jour du 16 mai 2025)","datePublished":"2025-05-16T16:40:09+00:00","dateModified":"2025-08-01T16:41:24+00:00","mainEntityOfPage":{"@id":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/threat-group-assessment-muddled-libra-2024\/"},"wordCount":4339,"commentCount":0,"image":{"@id":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/threat-group-assessment-muddled-libra-2024\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/05\/03-1-Muddle-Libra-1920x900-1.png","keywords":["0ktapus","ALPHV","app-ID","BlackCat ransomware","MITRE","Muddled Libra","phishing","Scatter Swine","Scattered Spider","social engineering"],"articleSection":["Groupes cybercriminels","Malware","Menaces de grande envergure"],"inLanguage":"fr-FR","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/origin-unit42.paloaltonetworks.com\/fr\/threat-group-assessment-muddled-libra-2024\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/threat-group-assessment-muddled-libra-2024\/","url":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/threat-group-assessment-muddled-libra-2024\/","name":"\u00c9valuation de l\u2019acteur malveillant Muddled Libra (Mise \u00e0 jour du 16 mai 2025)","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/threat-group-assessment-muddled-libra-2024\/#primaryimage"},"image":{"@id":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/threat-group-assessment-muddled-libra-2024\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/05\/03-1-Muddle-Libra-1920x900-1.png","datePublished":"2025-05-16T16:40:09+00:00","dateModified":"2025-08-01T16:41:24+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/02432a76cded81307123196237e2c981"},"description":"Entre autres tactiques avanc\u00e9es, Muddled Libra utilise le kit d\u2019hame\u00e7onnage 0ktapus. Nous d\u00e9crivons en d\u00e9tail nos observations de ses activit\u00e9s en nous appuyant sur le framework MITRE\u00a0ATT&CK. Entre autres tactiques avanc\u00e9es, Muddled Libra utilise le kit d\u2019hame\u00e7onnage 0ktapus. Nous d\u00e9crivons en d\u00e9tail nos observations de ses activit\u00e9s en nous appuyant sur le framework MITRE\u00a0ATT&CK.","breadcrumb":{"@id":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/threat-group-assessment-muddled-libra-2024\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/origin-unit42.paloaltonetworks.com\/fr\/threat-group-assessment-muddled-libra-2024\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/threat-group-assessment-muddled-libra-2024\/#primaryimage","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/05\/03-1-Muddle-Libra-1920x900-1.png","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/05\/03-1-Muddle-Libra-1920x900-1.png","width":1920,"height":900,"caption":"Pictorial representation of Muddled Libra (Scattered Spider). Illustration of a zodiac symbol Libra represented by scales, set against a cosmic purple background with stars."},{"@type":"BreadcrumbList","@id":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/threat-group-assessment-muddled-libra-2024\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"\u00c9valuation de l\u2019acteur malveillant Muddled Libra (Mise \u00e0 jour du 16 mai 2025)"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/02432a76cded81307123196237e2c981","name":"Samantha Stallings","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/417e56ed8d3092ea85e34b75496b9e05","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/Stallings-Insights-300x300.png","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/Stallings-Insights-300x300.png","caption":"Samantha Stallings"},"description":"Samantha Stallings is a Technical Writing Manager in Unit 42. In past lives, she has been a stationery designer, preservation assistant for the Frank Lloyd Wright Trust, and technical editor. Outside of work she spends her time hunting down patisserie and reading.","url":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/author\/samantha-stallings\/"}]}},"_links":{"self":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/147630","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/359"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=147630"}],"version-history":[{"count":1,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/147630\/revisions"}],"predecessor-version":[{"id":148717,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/147630\/revisions\/148717"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/141660"}],"wp:attachment":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=147630"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=147630"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=147630"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=147630"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=147630"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}