ProHoster > Blog > nouvèl sou entènèt > Dlo labou: ki jan entru soti nan MuddyWater atake yon manifakti Tik nan elektwonik militè

Dlo labou: ki jan entru soti nan MuddyWater atake yon manifakti Tik nan elektwonik militè

Dlo labou: ki jan entru soti nan MuddyWater atake yon manifakti Tik nan elektwonik militè

Entru Iranyen pro-gouvènman an nan gwo pwoblèm. Pandan tout sezon prentan an, moun enkoni pibliye "fuit sekrè" sou Telegram - enfòmasyon sou gwoup APT ki asosye ak gouvènman Iranyen an - OilRig и MuddyWater — zouti yo, viktim yo, koneksyon yo. Men, pa sou tout moun. Nan mwa avril, espesyalis Group-IB yo te dekouvri yon flit nan adrès postal sosyete Tik ASELSAN A.Ş, ki pwodui radyo militè taktik ak sistèm defans elektwonik pou fòs lame Tik yo. Anastasia Tikhonova, Group-IB Advanced Threat Research Team Leader, and Nikita Rostovtsev, analis jinyò nan Group-IB, te dekri kou atak la sou ASELSAN A.Ş e li te jwenn yon patisipan posib MuddyWater.

Ekleraj atravè Telegram

Leak la nan gwoup Iranyen APT te kòmanse ak lefèt ke yon sèten Lab Doukhtegan fè piblik la kòd sous yo nan sis zouti APT34 (aka OilRig ak HelixKitten), revele adrès IP yo ak domèn ki enplike nan operasyon yo, osi byen ke done sou 66 viktim entru, ki gen ladan Etihad Airways ak Emirates National Oil. Laboratwa Doookhtegan te koule tou done sou operasyon sot pase gwoup la ak enfòmasyon sou anplwaye Ministè Enfòmasyon Iranyen ak Sekirite Nasyonal ki swadizan asosye ak operasyon gwoup la. OilRig se yon gwoup APT ki lye ak Iran ki egziste depi anviwon 2014 epi ki vize òganizasyon gouvènman, finansye ak militè yo, ansanm ak konpayi enèji ak telekominikasyon nan Mwayen Oryan ak Lachin.

Apre OilRig te ekspoze, fwit yo te kontinye - enfòmasyon sou aktivite yo nan yon lòt gwoup pwo-eta soti nan Iran, MuddyWater, parèt sou darknet la ak sou Telegram. Sepandan, kontrèman ak premye koule a, fwa sa a se pa kòd sous yo ki te pibliye, men pil fatra, ki gen ladan Ekran nan kòd sous yo, serveurs kontwòl, osi byen ke adrès IP yo nan viktim sot pase yo nan entru. Fwa sa a, entru Green Leakers te pran responsablite pou koule sou MuddyWater. Yo posede plizyè chanèl Telegram ak sit darknet kote yo fè piblisite ak vann done ki gen rapò ak operasyon MuddyWater.

cyber espyon soti nan Mwayen Oryan an

MuddyWater se yon gwoup ki te aktif depi 2017 nan Mwayen Oryan an. Pa egzanp, jan ekspè Group-IB fè remake, soti nan mwa fevriye rive avril 2019, entru te fè yon seri èskrokri lapòs ki vize gouvènman, òganizasyon edikasyon, konpayi finansye, telekominikasyon ak defans nan peyi Turkey, Iran, Afganistan, Irak ak Azerbaydjan.

Manm gwoup yo sèvi ak yon backdoor nan devlopman pwòp yo ki baze sou PowerShell, ki rele POWERSTATS. Li kapab:

  • kolekte done sou kont lokal ak domèn, sèvè fichye ki disponib, adrès IP entèn ak ekstèn, non ak achitekti OS;
  • fè ekzekisyon kòd aleka;
  • telechaje ak telechaje fichye atravè C&C;
  • detekte prezans nan pwogram debogaj yo itilize nan analiz la nan dosye move;
  • fèmen sistèm nan si yo jwenn pwogram pou analize fichye move;
  • efase dosye ki soti nan kondui lokal yo;
  • pran Ekran;
  • enfim mezi sekirite nan pwodwi Microsoft Office.

Nan kèk pwen, atakè yo te fè yon erè ak chèchè soti nan ReaQta jere yo jwenn adrès IP final la, ki te sitiye nan Teheran. Etandone sib yo atake pa gwoup la, osi byen ke objektif li yo ki gen rapò ak espyonaj cyber, ekspè yo te sijere ke gwoup la reprezante enterè yo nan gouvènman Iranyen an.

Endikatè atak yoC&C:

  • gladyatè[.]tk
  • 94.23.148[.]194
  • 192.95.21[.]28
  • 46.105.84[.]146
  • 185.162.235[.]182

Dosye:

  • 09aabd2613d339d90ddbd4b7c09195a9
  • cfa845995b851aacdf40b8e6a5b87ba7
  • a61b268e9bc9b7e6c9125cdbfb1c422a
  • f12bab5541a7d8ef4bbca81f6fc835a3
  • a066f5b93f4ac85e9adfe5ff3b10bc28
  • 8a004e93d7ee3b26d94156768bc0839d
  • 0638adf8fb4095d60fbef190a759aa9e
  • eed599981c097944fa143e7d7f7e17b1
  • 21aebece73549b3c4355a6060df410e9
  • 5c6148619abb10bb3789dcfb32f759a6

Türkiye anba atak

10 avril 2019, espesyalis Group-IB yo te dekouvri yon flit nan adrès postal konpayi Tik ASELSAN A.Ş, pi gwo konpayi nan domèn elektwonik militè nan peyi Turkey. Pwodwi li yo gen ladan rada ak elektwonik, elektwo-optik, avyonik, sistèm san ekipe, tè, naval, zam ak sistèm defans lè.

Etidye youn nan nouvo echantiyon malveyan POWERSTATS yo, ekspè Group-IB te detèmine ke gwoup atakè MuddyWater te itilize kòm yon dokiman Garnier yon akò lisans ant Koç Savunma, yon konpayi ki pwodui solisyon nan domèn enfòmasyon ak teknoloji defans, ak Tubitak Bilgem. , yon sant rechèch sekirite enfòmasyon ak teknoloji avanse. Moun ki kontakte Koç Savunma se te Tahir Taner Tımış, ki te okipe pozisyon Manadjè Pwogram nan Koç Bilgi ve Savunma Teknolojileri A.Ş. soti septanm 2013 rive desanm 2018. Apre sa, li te kòmanse travay nan ASELSAN A.Ş.

Egzanp dokiman dekouDlo labou: ki jan entru soti nan MuddyWater atake yon manifakti Tik nan elektwonik militè
Apre itilizatè a aktive makro move, POWERSTATS degize a telechaje sou òdinatè viktim nan.

Mèsi a metadata dokiman sa a dekou (MD5: 0638adf8fb4095d60fbef190a759aa9e) chèchè yo te kapab jwenn twa echantiyon adisyonèl ki gen valè ki idantik, ki gen ladan dat ak lè kreyasyon an, non itilizatè, ak yon lis makro ki genyen:

  • ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
  • asd.doc (21aebece73549b3c4355a6060df410e9)
  • F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)

Ekran metadone ki idantik nan plizyè dokiman dekou Dlo labou: ki jan entru soti nan MuddyWater atake yon manifakti Tik nan elektwonik militè

Youn nan dokiman yo dekouvri ak non an ListOfHackedEmails.doc gen yon lis 34 adrès imel ki fè pati domèn nan @aselsan.com.tr.

Espesyalis Gwoup-IB yo tcheke adrès imel nan fwit ki disponib piblikman e yo te jwenn ke 28 nan yo te konpwomèt nan fwit yo te dekouvri deja. Tcheke melanj la nan fwit ki disponib yo te montre apeprè 400 koneksyon inik ki asosye ak domèn sa a ak modpas pou yo. Li posib ke atakè yo te itilize done piblik sa yo pou atake ASELSAN A.Ş.

Ekran nan dokiman ListOfHackedEmails.doc Dlo labou: ki jan entru soti nan MuddyWater atake yon manifakti Tik nan elektwonik militè

Ekran nan yon lis ki gen plis pase 450 pè login-modpas detekte nan fwit piblik yo Dlo labou: ki jan entru soti nan MuddyWater atake yon manifakti Tik nan elektwonik militè
Pami echantiyon yo dekouvri te gen tou yon dokiman ki gen tit la F35-Specifications.doc, refere li a avyon de gè F-35 la. Dokiman Garnier an se yon spesifikasyon pou avyon de gè-bonbadè ki gen plizyè wòl F-35, ki endike karakteristik ak pri avyon an. Sijè a nan dokiman sa a dekoy dirèkteman gen rapò ak refi US la bay F-35 apre Latiki te achte nan sistèm yo S-400 ak menas nan transfere enfòmasyon sou F-35 Lightning II nan Larisi.

Tout done yo te resevwa endike ke sib prensipal yo nan atak cyber MuddyWater yo te òganizasyon ki sitiye nan peyi Turkey.

Ki moun ki Gladiyator_CRK ak Nima Nikjoo?

Byen bonè, nan mwa mas 2019, yo te dekouvri dokiman move ki te kreye pa yon itilizatè Windows anba tinon Gladiyator_CRK. Dokiman sa yo te distribye tou POWERSTATS backdoor epi konekte ak yon sèvè C&C ki gen yon non menm jan an gladyatè[.]tk.

Sa a te ka fèt apre itilizatè Nima Nikjoo te poste sou Twitter nan dat 14 mas 2019, pou l eseye dekode kòd obfuscate ki asosye ak MuddyWater. Nan kòmantè yo sou tweet sa a, chèchè a te di ke li pa t 'kapab pataje endikatè nan konpwomi pou malveyan sa a, kòm enfòmasyon sa a konfidansyèl. Malerezman, pòs la te deja efase, men tras li rete sou entènèt:

Dlo labou: ki jan entru soti nan MuddyWater atake yon manifakti Tik nan elektwonik militè
Dlo labou: ki jan entru soti nan MuddyWater atake yon manifakti Tik nan elektwonik militè
Nima Nikjoo se pwopriyetè pwofil Gladiyator_CRK sou sit hosting videyo Iranyen dideo.ir ak videoi.ir. Sou sit sa a, li demontre eksplwatasyon PoC pou enfim zouti antivirus ki soti nan divès machann ak kontoune sandboxes. Nima Nikjoo ekri sou tèt li ke li se yon espesyalis sekirite rezo, osi byen ke yon enjenyè ranvèse ak analis malveyan ki travay pou MTN Irancell, yon konpayi telekominikasyon Iranyen.

Ekran videyo ki sove nan rezilta rechèch Google:

Dlo labou: ki jan entru soti nan MuddyWater atake yon manifakti Tik nan elektwonik militè
Dlo labou: ki jan entru soti nan MuddyWater atake yon manifakti Tik nan elektwonik militè
Apre sa, 19 mas 2019, itilizatè Nima Nikjoo sou rezo sosyal Twitter chanje tinon li an Malware Fighter, epi tou li te efase posts ak kòmantè ki gen rapò. Pwofil Gladiyator_CRK sou videyo hosting dideo.ir te efase tou, menm jan sa te fèt sou YouTube, epi pwofil la li menm te chanje non N Tabrizi. Sepandan, prèske yon mwa apre (16 avril 2019), kont Twitter la te kòmanse itilize non Nima Nikjoo ankò.

Pandan etid la, espesyalis Gwoup-IB yo te dekouvri ke Nima Nikjoo te deja mansyone anrapò ak aktivite sibèrkriminèl yo. Nan mwa Out 2014, blog Iran Khabarestan pibliye enfòmasyon sou moun ki asosye ak gwoup cybercriminal Iranian Nasr Institute. Yon envestigasyon FireEye te deklare ke Nasr Institute se te yon kontraktè pou APT33 e li te patisipe tou nan atak DDoS sou bank ameriken ant 2011 ak 2013 nan kad yon kanpay ki rele Operasyon Ababil.

Se konsa, nan menm blog la, Nima Nikju-Nikjoo te mansyone, ki te devlope malveyan pou al rekonèt sou Iranyen, ak adrès imel li: gladiyator_cracker@yahoo[.]com.

Ekran done atribiye a sibèrkriminèl ki soti nan Iranian Nasr Institute:

Dlo labou: ki jan entru soti nan MuddyWater atake yon manifakti Tik nan elektwonik militè
Tradiksyon tèks make an Ris: Nima Nikio - Devlopè Logiciels espyon - Imèl:.

Kòm ou ka wè nan enfòmasyon sa a, adrès imel la asosye ak adrès yo itilize nan atak yo ak itilizatè yo Gladiyator_CRK ak Nima Nikjoo.

Anplis de sa, atik 15 jen 2017 la te deklare ke Nikjoo te yon ti jan neglijan nan afiche referans sou Kavosh Security Center sou rezime li. Manje opinyonke Sant Sekirite Kavosh la sipòte pa eta Iranyen pou finanse entru pro-gouvènman an.

Enfòmasyon sou konpayi kote Nima Nikjoo te travay:

Dlo labou: ki jan entru soti nan MuddyWater atake yon manifakti Tik nan elektwonik militè
Pwofil LinkedIn itilizatè Twitter Nima Nikjoo bay lis premye plas li nan travay kòm Kavosh Security Center, kote li te travay soti nan 2006 a 2014. Pandan travay li, li te etidye divès kalite malveyan, epi tou li te fè fas ak travay ranvèse ak obfuscation.

Enfòmasyon sou konpayi Nima Nikjoo te travay sou LinkedIn:

Dlo labou: ki jan entru soti nan MuddyWater atake yon manifakti Tik nan elektwonik militè

MuddyWater ak gwo estim pwòp tèt ou

Li se kirye ke gwoup la MuddyWater ak anpil atansyon kontwole tout rapò ak mesaj ki soti nan ekspè sekirite enfòmasyon pibliye sou yo, e menm fè espre kite fo drapo nan premye yo nan lòd yo jete chèchè nan odè a. Pou egzanp, premye atak yo twonpe ekspè yo lè yo detekte itilizasyon DNS Messenger, ki te souvan asosye ak gwoup FIN7 la. Nan lòt atak, yo mete kòd Chinwa nan kòd la.

Anplis de sa, gwoup la renmen kite mesaj pou chèchè yo. Pou egzanp, yo pa t renmen ke Kaspersky Lab mete MuddyWater nan 3yèm plas nan evalyasyon menas li pou ane a. Nan menm moman an, yon moun - siman gwoup MuddyWater - telechaje yon PoC nan yon exploit sou YouTube ki enfim antivirus LK la. Yo menm tou yo te kite yon kòmantè anba atik la.

Ekran nan videyo a sou enfim Kaspersky Lab antivirus ak kòmantè ki anba a:

Dlo labou: ki jan entru soti nan MuddyWater atake yon manifakti Tik nan elektwonik militè
Dlo labou: ki jan entru soti nan MuddyWater atake yon manifakti Tik nan elektwonik militè
Li toujou difisil pou fè yon konklizyon klè sou patisipasyon "Nima Nikjoo". Ekspè Group-IB yo ap konsidere de vèsyon. Nima Nikjoo, tout bon, ka yon pirate nan gwoup la MuddyWater, ki te vin nan limyè akòz neglijans li ak aktivite ogmante sou rezo a. Dezyèm opsyon an se ke li te fè espre "ekspoze" pa lòt manm nan gwoup la yo nan lòd yo detounen sispèk nan tèt yo. Nan nenpòt ka, Group-IB kontinye rechèch li epi definitivman pral rapòte rezilta li yo.

Kòm pou APT Iranyen yo, apre yon seri fwit ak fwit, yo pral pwobableman fè fas a yon "debriefing" grav - entru yo pral oblije chanje seryezman zouti yo, netwaye tras yo epi jwenn posib "mòl" nan ran yo. Ekspè yo pat ekskli ke yo ta menm pran yon tan, men apre yon ti repo, atak Iranyen APT yo te kontinye ankò.

Sous: www.habr.com

Add nouvo kòmantè