I pirate iraniani pro-governmentali sò in grandi prublemi. In tutta a primavera, persone scunnisciute anu publicatu "fughe secrete" in Telegram - infurmazione nantu à i gruppi APT assuciati cù u guvernu iranianu - OilRig и MuddyWater - i so arnesi, vittimi, cunnessione. Ma micca di tutti. In April, i specialisti di u Gruppu IB anu scupertu una fuga di indirizzi postali di a corporazione turca ASELSAN A.Ş, chì produce radiu militari tattici è sistemi di difesa elettronica per e forze armate turche. Anastasia Tikhonova, Capu di u Gruppu di Ricerca Avanzata di Minaccia à Group-IB, è Nikita Rostovtsev, analista junior in Group-IB, hà descrittu u cursu di l'attaccu à ASELSAN A.Ş è truvò un pussibule participante MuddyWater.
Illuminazione via Telegram
A fuga di i gruppi APT iraniani principia cù u fattu chì un certu Lab Doukhtegan
Dopu chì OilRig hè statu espostu, e fughe cuntinueghjanu - l'infurmazioni nantu à l'attività di un altru gruppu pro-statu da l'Iran, MuddyWater, apparsu in u darknet è in Telegram. In ogni casu, à u cuntrariu di a prima fuga, sta volta ùn era micca i codici surghjenti chì sò stati publicati, ma i dumps, cumprese screenshots di i codici fonte, i servitori di cuntrollu, è ancu l'indirizzi IP di vittimi passati di pirate. Questa volta, i pirate di Green Leakers anu pigliatu a rispunsabilità di a filtrazione di MuddyWater. Iddi pussede parechji canali Telegram è siti darknet induve publicità è vende dati riguardanti l'operazioni MuddyWater.
Cyber spies da u Mediu Oriente
MuddyWater hè un gruppu chì hè attivu da 2017 in u Mediu Oriente. Per esempiu, cum'è l'esperti di u Gruppu-IB notanu, da ferraghju à aprile 2019, i pirate anu realizatu una serie di mailing di phishing destinati à u guvernu, l'urganisazioni educative, e cumpagnie finanziarie, di telecomunicazioni è di difesa in Turchia, Iran, Afganistan, Iraq è Azerbaijan.
I membri di u gruppu utilizanu una backdoor di u so propiu sviluppu basatu in PowerShell, chì hè chjamatu POWERSTATS. Pò:
- raccoglie dati nantu à i cunti lucali è di duminiu, servitori di schedari dispunibili, indirizzi IP interni è esterni, nome è architettura OS;
- realizà l'esecuzione di codice remota;
- carica è scaricate i fugliali via C&C;
- detectà a prisenza di prugrammi di debugging utilizati in l'analisi di i fugliali maliziusi;
- chjude u sistema se si trovanu prugrammi per analizà i fugliali maliziusi;
- sguassate i fugliali da unità lucali;
- piglià screenshots;
- disattivà e misure di sicurezza in i prudutti Microsoft Office.
À un certu puntu, l'attaccanti anu fattu un sbagliu è i circadori di ReaQta anu sappiutu ottene l'indirizzu IP finale, chì era situatu in Teheran. Dati i miri attaccati da u gruppu, è ancu i so scopi ligati à u ciberspionamentu, i sperti anu suggeritu chì u gruppu rapprisenta l'interessi di u guvernu iranianu.
Indicatori d'attaccuC&C:
- gladiatore[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Files:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Türkiye sottu attaccu
U 10 d'aprile di u 2019, i specialisti di u Gruppu IB anu scupertu una fuga di indirizzi postali di a cumpagnia turca ASELSAN A.Ş, a più grande cumpagnia in u campu di l'elettronica militare in Turchia. I so prudutti includenu radar è l'elettronica, l'elettro-ottica, l'avionica, i sistemi senza pilotu, i sistemi di difesa terrestre, navali, armi è aerei.
Studiendu unu di i novi campioni di u malware POWERSTATS, l'esperti Group-IB anu determinatu chì u gruppu di attaccanti MuddyWater hà utilizatu com'è documentu di esca un accordu di licenza trà Koç Savunma, una cumpagnia chì produce suluzioni in u campu di e tecnulugia di l'infurmazione è di difesa, è Tubitak Bilgem. , un centru di ricerca di sicurezza di l'infurmazioni è tecnulugia avanzata. A persona di cuntattu per Koç Savunma era Tahir Taner Tımış, chì occupava a pusizione di Manager di Programmi in Koç Bilgi ve Savunma Teknolojileri A.Ş. da settembre 2013 à dicembre 2018. In seguitu hà cuminciatu à travaglià in ASELSAN A.Ş.
Esempiu di documentu di decoy
Dopu chì l'utilizatore hà attivatu macros maliziusi, u POWERSTATS backdoor hè scaricatu à l'urdinatore di a vittima.
Grâce aux métadonnées de ce document decoy (MD5 : 0638adf8fb4095d60fbef190a759aa9e) i circadori anu pussutu truvà trè campioni supplementari chì cuntenenu valuri identici, cumprese a data è l'ora di creazione, u nome d'utilizatore è una lista di macros cuntenuti:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specificazioni.doc (5c6148619abb10bb3789dcfb32f759a6)
Screenshot di metadati identici di diversi documenti di decoy
Unu di i ducumenti scuperti cù u nome ListOfHackedEmails.doc cuntene una lista di 34 indirizzi email chì appartenenu à u duminiu @aselsan.com.tr.
I specialisti di u Gruppu IB anu verificatu l'indirizzi email in fughe publicamente dispunibuli è truvaru chì 28 d'elli eranu cumprumessi in fughe scuperte prima. A verificazione di u mischju di fughe dispunibuli hà dimustratu circa 400 logins unichi assuciati cù stu duminiu è password per elli. Hè pussibule chì l'attaccanti anu utilizatu questi dati dispunibuli publicamente per attaccà ASELSAN A.Ş.
Screenshot di u documentu ListOfHackedEmails.doc
Screenshot di una lista di più di 450 coppie login-password rilevate in fughe publiche
Trà i campioni scuperti ci era ancu un documentu cù u titulu F35-Specificazioni.doc, in riferimentu à u jet di caccia F-35. U documentu di l'esca hè una specificazione per u F-35 multi-role fighter-bomber, chì indica e caratteristiche di l'aviò è u prezzu. U tema di stu documentu di decoy hè direttamente in relazione cù u rifiutu di i Stati Uniti di furnisce F-35 dopu l'acquistu di Turchia di i sistemi S-400 è a minaccia di trasferimentu d'infurmazioni nantu à u F-35 Lightning II in Russia.
Tutti i dati ricivuti indicanu chì i principali obiettivi di l'attacchi cibernetici di MuddyWater eranu urganisazioni situate in Turchia.
Quale sò Gladiyator_CRK è Nima Nikjoo?
Prima, in marzu 2019, i ducumenti maliziusi sò stati scuperti creati da un utilizatore di Windows sottu u soprannomu Gladiyator_CRK. Questi documenti anu distribuitu ancu u POWERSTATS backdoor è cunnessu à un servitore C&C cù un nome simili gladiatore[.]tk.
Questu pò esse fattu dopu chì l'utilizatore Nima Nikjoo hà publicatu in Twitter u 14 di marzu di u 2019, pruvatu à decodificà u codice offuscatu assuciatu cù MuddyWater. In i cumenti à stu tweet, l'investigatore hà dettu chì ùn pudia micca sparte indicatori di cumprumissu per stu malware, postu chì sta informazione hè cunfidenziale. Sfurtunatamente, u post hè digià statu sguassatu, ma tracce di ellu restanu in linea:
Nima Nikjoo hè u pruprietariu di u prufilu Gladiyator_CRK nantu à i siti di hosting video iraniani dideo.ir è videoi.ir. In questu situ, dimustra PoC exploits per disattivà l'arnesi antivirus da diversi venditori è bypass sandboxes. Nima Nikjoo scrive nantu à ellu stessu chì hè un specialista in a sicurità di a rete, è ancu un ingegnere inversu è un analista di malware chì travaglia per MTN Irancell, una cumpagnia di telecomunicazioni iraniana.
Screenshot di i video salvati in i risultati di ricerca di Google:
In seguitu, u 19 di marzu di u 2019, l'utilizatore Nima Nikjoo nantu à a reta suciale Twitter hà cambiatu u so soprannomu in Malware Fighter, è ancu sguassatu i posti è i cumenti cunnessi. U prufilu di Gladiyator_CRK nantu à u video hosting dideo.ir hè statu ancu sguassatu, cum'è u casu in YouTube, è u prufilu stessu hè statu rinominatu N Tabrizi. Tuttavia, quasi un mese dopu (16 d'aprile 2019), u contu Twitter hà cuminciatu à aduprà u nome Nima Nikjoo di novu.
Duranti u studiu, i specialisti Group-IB anu scupertu chì Nima Nikjoo era digià statu mintuatu in cunnessione cù l'attività cibercriminali. In l'aostu di u 2014, u blog Iran Khabarestan hà publicatu infurmazioni nantu à e persone assuciate à u gruppu cibercriminale Iranian Nasr Institute. Una investigazione FireEye hà dichjaratu chì Nasr Institute era un cuntrattu per APT33 è era ancu implicatu in attacchi DDoS à i banche americani trà 2011 è 2013 in parte di una campagna chjamata Operazione Ababil.
Allora in u stessu blog hè statu citatu Nima Nikju-Nikjoo, chì sviluppava malware per spia l'Iraniani, è u so indirizzu email: gladiyator_cracker@yahoo[.]com.
Screenshot di dati chì sò attribuiti à i cibercriminali da l'Istitutu Nasr Iranian:
Traduzzione di u testu evidenziatu in Russu: Nima Nikio - Sviluppatore di spyware - Email:.
Comu pò esse vistu da questa infurmazione, l'indirizzu email hè assuciatu cù l'indirizzu utilizatu in l'attacchi è l'utilizatori Gladiyator_CRK è Nima Nikjoo.
Inoltre, l'articulu di u 15 di ghjugnu 2017 hà dichjaratu chì Nikjoo era un pocu imprudente in a pubblicazione di referenze à u Centru di Sicurezza Kavosh in u so curriculum vitae. Manghja
Informazioni nantu à a cumpagnia induve Nima Nikjoo hà travagliatu:
U prufilu LinkedIn di l'utilizatori di Twitter Nima Nikjoo elenca u so primu postu di travagliu cum'è Kavosh Security Center, induve hà travagliatu da 2006 à 2014. Duranti u so travagliu, hà studiatu diversi malware, è ancu trattatu di u travagliu inversu è di l'obfuscazione.
Informazioni nantu à a cumpagnia Nima Nikjoo hà travagliatu nantu à LinkedIn:
MuddyWater è alta autoestima
Hè curiosu chì u gruppu MuddyWater cuntrolla currettamente tutti i rapporti è i missaghji da i sperti di sicurezza di l'infurmazioni publicati annantu à elli, è ancu deliberatamente lasciatu falsi bandieri in prima per caccià i circadori fora di l'odore. Per esempiu, i so primi attacchi ingannatu i sperti detectendu l'usu di DNS Messenger, chì era cumunimenti assuciatu cù u gruppu FIN7. In altri attacchi, anu inseritu strings Chinese in u codice.
Inoltre, u gruppu li piace à lascià missaghji per i circadori. Per esempiu, ùn anu micca piaciutu chì Kaspersky Lab hà postu MuddyWater in u 3u postu in a so classificazione di minaccia per l'annu. À u listessu mumentu, qualchissia - presumibbilmente u gruppu MuddyWater - hà caricatu un PoC di un sfruttamentu à YouTube chì disattiva l'antivirus LK. Anu ancu lasciatu un cumentu sottu à l'articulu.
Screenshots di u video nantu à a disattivazione di l'antivirus Kaspersky Lab è u cummentariu sottu:
Hè sempre difficiule di fà una cunclusione senza ambiguità nantu à l'implicazione di "Nima Nikjoo". L'esperti di u Gruppu IB cunsidereghjanu duie versioni. Nima Nikjoo, veramente, pò esse un pirate di u gruppu MuddyWater, chì hè vinutu à a luce per via di a so negligenza è di l'attività aumentata in a reta. A seconda opzione hè ch'ellu era deliberatamente "espostu" da altri membri di u gruppu per svià a sospetenza da elli stessi. In ogni casu, u Gruppu-IB cuntinueghja a so ricerca è di sicuru riportà i so risultati.
In quantu à l'APT iraniani, dopu à una seria di fughe è fughe, anu da esse prubabilmente affruntatu un seriu "debriefing" - i pirate seranu custretti à cambià seriamente i so arnesi, pulizziari e so piste è truvà pussibuli "moles" in i so ranchi. I sperti ùn anu micca escluditu chì anu da piglià ancu un timeout, ma dopu à una breve pausa, l'attacchi APT iraniani cuntinueghjanu di novu.
Source: www.habr.com