イランの親政府ハッカーたちは大きな問題に直面している。 春を通じて、見知らぬ人々がテレグラムで「秘密リーク」を公開しました - イラン政府に関連する APT グループに関する情報 - オイルリグ и マディウォーター — 彼らのツール、被害者、つながり。 しかし、すべての人についてではありません。 XNUMX月、Group-IBの専門家は、トルコ軍向けの戦術軍用無線機と電子防衛システムを製造するトルコ企業ASELSAN A.Şのメールアドレスの漏洩を発見した。 アナスタシア・チホノワ、グループ IB 高度脅威研究チーム リーダー、および ニキータ・ロストフツェフGroup-IB のジュニア アナリストである彼は、ASELSAN A.Ş への攻撃の過程を説明し、参加者候補を発見しました。 マディウォーター.
電報によるイルミネーション
イランのAPTグループの漏洩は、特定のLab Doukhteganが行ったという事実から始まりました。 34つのAPT66ツール(別名OilRigとHelixKitten)のソースコードから、この作戦に関与したIPアドレスとドメインのほか、エティハド航空やエミレーツ国営石油を含む2014人のハッカー被害者に関するデータが明らかになった。 Lab Doookhteganはまた、グループの過去の活動に関するデータと、グループの活動に関与しているとされるイラン情報・国家安全保障省の職員に関する情報も漏洩した。 OilRig は、XNUMX 年頃から存在するイラン関連の APT グループで、中東と中国の政府、金融、軍事組織、エネルギー会社、通信会社を標的としています。
OilRig が暴露された後も漏洩は続き、イランの別の親国家グループ MuddyWater の活動に関する情報がダークネットとテレグラムに現れました。 ただし、最初のリークとは異なり、今回はソースコードではなく、ソースコードのスクリーンショット、制御サーバー、過去のハッカー被害者のIPアドレスを含むダンプが公開された。 今回、Green Leakers ハッカーは MuddyWater に関するリークの責任を負いました。 彼らはいくつかの Telegram チャネルとダークネット サイトを所有しており、そこで MuddyWater の運営に関連するデータを宣伝および販売しています。
中東からのサイバースパイ
マディウォーター は2017年から中東で活動しているグループです。 たとえば、Group-IBの専門家が指摘しているように、2019年XNUMX月からXNUMX月にかけて、ハッカーはトルコ、イラン、アフガニスタン、イラク、アゼルバイジャンの政府、教育機関、金融、通信、防衛企業を狙った一連のフィッシングメールを実行した。
グループのメンバーは、PowerShell に基づいて独自に開発したバックドアを使用します。 パワースタッツ。 彼は次のことができます。
- ローカルおよびドメインのアカウント、利用可能なファイル サーバー、内部および外部の IP アドレス、名前および OS アーキテクチャに関するデータを収集します。
- リモートコード実行を実行します。
- C&C 経由でファイルをアップロードおよびダウンロードします。
- 悪意のあるファイルの分析に使用されるデバッグ プログラムの存在を検出します。
- 悪意のあるファイルを分析するプログラムが見つかった場合はシステムをシャットダウンします。
- ローカルドライブからファイルを削除します。
- スクリーンショットを撮る。
- Microsoft Office 製品のセキュリティ対策を無効にします。
ある時点で、攻撃者がミスを犯し、ReaQta の研究者がテヘランにある最終的な IP アドレスを取得することに成功しました。 このグループによる攻撃目標やサイバースパイ活動に関連した目的を考慮すると、専門家らはこのグループがイラン政府の利益を代表しているのではないかと示唆している。
攻撃インジケーターC&C:
- 剣闘士[.]tk
- 94.23.148[。]194
- 192.95.21[。]28
- 46.105.84[。]146
- 185.162.235[。]182
ファイル:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
攻撃を受けるトゥルキエ
10 年 2019 月 XNUMX 日、Group-IB の専門家は、トルコの軍用電子機器分野で最大の企業である ASELSAN A.Ş のメールアドレスの漏洩を発見しました。 その製品には、レーダーとエレクトロニクス、電気光学、航空電子工学、無人システム、陸上、海軍、兵器、防空システムが含まれます。
POWERSTATS マルウェアの新しいサンプルの 2013 つを研究した Group-IB の専門家は、攻撃者グループ MuddyWater がおとりとして、情報および防衛技術の分野でソリューションを開発している会社 Koç Savunma と Tubitak Bilgem の間のライセンス契約を文書化したと判断しました。 、情報セキュリティ研究センターと先進技術。 Koç Savunma の連絡担当者は、Koç Bilgi ve Savunma Teknolojileri A.Ş でプログラム マネージャーの職にあった Tahir Taner Tımış でした。 2018年XNUMX月からXNUMX年XNUMX月まで。 その後、ASELSAN A.Ş で働き始めました。
おとり文書のサンプル
ユーザーが悪意のあるマクロをアクティブ化すると、POWERSTATS バックドアが被害者のコンピュータにダウンロードされます。
このおとりドキュメントのメタデータのおかげで (MD5: 0638adf8fb4095d60fbef190a759aa9e) 研究者は、作成日時、ユーザー名、含まれるマクロのリストなど、同一の値を含む XNUMX つの追加サンプルを見つけることができました。
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-仕様.doc (5c6148619abb10bb3789dcfb32f759a6)
さまざまなおとりドキュメントの同一のメタデータのスクリーンショット
発見された名前の文書のXNUMXつ ListOfHackedEmails.doc ドメインに属する 34 個の電子メール アドレスのリストが含まれています @aselsan.com.tr.
Group-IB の専門家は、公開されている漏洩情報に含まれる電子メール アドレスを調査し、そのうち 28 件が以前に発見された漏洩により侵害されたことを発見しました。 入手可能なリークの組み合わせを確認すると、このドメインに関連付けられた約 400 件の一意のログインとそのパスワードが判明しました。 攻撃者がこの公開データを使用して ASELSAN A.Ş を攻撃した可能性があります。
ドキュメント ListOfHackedEmails.doc のスクリーンショット
公開リークで検出された 450 を超えるログインとパスワードのペアのリストのスクリーンショット
発見されたサンプルの中には、次のようなタイトルの文書もあった。 F35-仕様.doc、F-35戦闘機を指します。 おとり文書はF-35多用途戦闘爆撃機の仕様書で、航空機の特性と価格を示している。 このおとり文書の主題は、トルコによるS-35システム購入後の米国のF-400供給拒否と、F-35ライトニングIIに関する情報をロシアに転送するという脅威に直接関係している。
受信したすべてのデータは、MuddyWater サイバー攻撃の主な標的がトルコにある組織であることを示していました。
Gladiyator_CRK と Nima Nikhoo とは何ですか?
2019 年 XNUMX 月に、ある Windows ユーザーが Gladiyator_CRK というニックネームで作成した悪意のあるドキュメントが発見されました。 これらの文書では、POWERSTATS バックドアも配布され、同様の名前の C&C サーバーに接続されていました。 剣闘士[.]tk.
これは、ユーザー Nima Nikkooo が 14 年 2019 月 XNUMX 日に Twitter に投稿し、MuddyWater に関連する難読化されたコードを解読しようとした後に行われた可能性があります。 このツイートへのコメントの中で、研究者は、この情報は機密事項であるため、このマルウェアの侵害の兆候を共有することはできないと述べました。 残念ながら、この投稿はすでに削除されていますが、その痕跡はオンラインに残っています。
Nima Nikkooo は、イランのビデオ ホスティング サイト Dideo.ir および videoi.ir の Gladiyator_CRK プロファイルの所有者です。 このサイトでは、さまざまなベンダーのウイルス対策ツールを無効にし、サンドボックスをバイパスする PoC エクスプロイトをデモンストレーションしています。 Nima Nikkooo は、自分自身について、ネットワーク セキュリティのスペシャリストであり、イランの電気通信会社 MTN Irancell で働くリバース エンジニアおよびマルウェア アナリストであると書いています。
Google 検索結果に保存された動画のスクリーンショット:
その後、19 年 2019 月 16 日、ソーシャル ネットワーク Twitter のユーザー Nima Nikkooo がニックネームを Malware Fighter に変更し、関連する投稿やコメントも削除しました。 YouTube の場合と同様に、dideo.ir をホストしているビデオ上の Gladiyator_CRK のプロフィールも削除され、プロフィール自体の名前は N Tabrizi に変更されました。 しかし、ほぼ 2019 か月後 (XNUMX 年 XNUMX 月 XNUMX 日)、Twitter アカウントは再び Nima Nikkooo という名前を使い始めました。
調査中に、Group-IB の専門家は、ニマ ニクドゥがサイバー犯罪活動に関連してすでに言及されていることを発見しました。 2014 年 33 月、イラン ハバレスタン ブログは、サイバー犯罪組織イラン ナスル研究所に関係する個人に関する情報を公開しました。 FireEyeの調査によると、Nasr InstituteはAPT2011の請負業者であり、2013年からXNUMX年にかけて「Operation Ababil」と呼ばれるキャンペーンの一環として米国の銀行に対するDDoS攻撃にも関与していたという。
そのため、同じブログで、イラン人をスパイするマルウェアを開発していた Nima Nikju-Nikkooo と、彼の電子メール アドレス Gladiyator_cracker@yahoo[.]com について言及しました。
イランのナスル研究所からのサイバー犯罪者によるデータのスクリーンショット:
強調表示されたテキストのロシア語への翻訳: Nima Nikio - スパイウェア開発者 - 電子メール:.
この情報からわかるように、電子メール アドレスは、攻撃に使用されたアドレスとユーザー Gladiyator_CRK および Nima Nikgoo に関連付けられています。
さらに、15 年 2017 月 XNUMX 日の記事では、ニックー氏が履歴書に Kavosh Security Center への言及を投稿する際にやや不注意だったと述べています。 食べる カヴォシュセキュリティセンターは、親政府ハッカーに資金を提供するためにイラン国家によって支援されているという。
Nima Nikkooo が勤務していた会社に関する情報:
Twitter ユーザーのニマ・ニクー氏の LinkedIn プロフィールには、最初の勤務先が Kavosh Security Center として記載されており、2006 年から 2014 年までそこで働いていました。 仕事中に、彼はさまざまなマルウェアを研究し、リバースおよび難読化関連の作業にも取り組みました。
LinkedIn に掲載されている Nima Nikkooo が勤務していた会社に関する情報:
マディウォーターと高い自尊心
興味深いのは、MuddyWater グループが、自分たちに関して公開された情報セキュリティ専門家からのすべてのレポートとメッセージを注意深く監視しており、研究者をその匂いから遠ざけるために、最初は故意に偽旗さえ残していることです。 たとえば、彼らの最初の攻撃では、一般的に FIN7 グループに関連付けられていた DNS メッセンジャーの使用を検出することで、専門家を誤解させました。 他の攻撃では、コードに中国語の文字列が挿入されました。
さらに、このグループは研究者にメッセージを残すことが大好きです。 たとえば、Kaspersky Lab がその年の脅威評価で MuddyWater を 3 位に置いたことを彼らは気に入らなかった。 同時に、誰か (おそらく MuddyWater グループ) が、LK アンチウイルスを無効にするエクスプロイトの PoC を YouTube にアップロードしました。 彼らは記事の下にコメントも残しました。
Kaspersky Lab アンチウイルスの無効化に関するビデオと以下の解説のスクリーンショット:
「ニマ・ニクー」の関与について明確な結論を下すことは依然として困難です。 Group-IB の専門家は XNUMX つのバージョンを検討しています。 確かに、Nima Nikkooo は MuddyWater グループのハッカーである可能性があり、彼の過失とネットワーク上での活動の増加により明るみに出ました。 XNUMX番目の選択肢は、彼が自分たちから疑惑をそらすために、グループの他のメンバーによって意図的に「暴露」されたというものです。 いずれにせよ、Group-IB は研究を続けており、その結果は必ず報告されるでしょう。
イランのAPTに関しては、一連の漏洩と漏洩の後、おそらく深刻な「報告会」に直面することになるだろう。ハッカーたちは真剣にツールを変更し、痕跡を一掃し、仲間内の「もぐら」の可能性を見つけ出すことを強いられるだろう。 専門家らはタイムアウトを取る可能性も排除しなかったが、短い休憩の後、イランのAPT攻撃は再び続いた。
出所: habr.com