진흙탕: MuddyWater의 해커가 터키의 군용 전자 제품 제조업체를 공격한 방법

이란 친정부 해커들이 큰 어려움에 처해 있습니다. 올봄 내내 신원이 밝혀지지 않은 사람들이 텔레그램에 이란 정부와 연계된 APT 그룹에 대한 정보인 '비밀 유출'을 게시했습니다. OilRig и 흙탕물 — 도구, 피해자, 연결. 그러나 모든 사람에 관한 것은 아닙니다. 지난 XNUMX월, Group-IB 전문가들은 터키군을 위한 전술 군사 무선 장치와 전자 방어 시스템을 생산하는 터키 기업 ASELSAN A.Ş의 우편 주소가 유출된 사실을 발견했습니다. 아나스타샤 티코노바, Group-IB 첨단위협연구팀장, 니키타 로스토프체프Group-IB의 주니어 분석가인 는 ASELSAN A.Ş에 대한 공격 과정을 설명하고 가능한 참가자를 찾았습니다. 흙탕물.

텔레그램을 통한 조명

이란 APT 그룹의 유출은 특정 Lab Doukhtegan이 공개 된 34개 APT66 도구(일명 OilRig 및 HelixKitten)의 소스 코드를 통해 해당 작업에 관련된 IP 주소와 도메인은 물론 Etihad Airways 및 Emirates National Oil을 포함한 해커 피해자 2014명의 데이터가 공개되었습니다. Lab Doookhtegan은 또한 그룹의 과거 활동에 대한 데이터와 그룹 활동과 관련된 것으로 알려진 이란 정보 및 국가 안보부 직원에 대한 정보를 유출했습니다. OilRig는 이란과 연계된 APT 그룹으로 XNUMX년경부터 존재해 왔으며 중동과 중국의 정부, 금융, 군사 기관은 물론 에너지, 통신 기업을 표적으로 삼고 있습니다.

OilRig가 노출된 후에도 유출은 계속되었습니다. 이란의 또 다른 친국가 단체인 MuddyWater의 활동에 대한 정보가 다크넷과 텔레그램에 나타났습니다. 하지만 이번에는 XNUMX차 유출과 달리 소스코드가 공개된 것이 아니라, 소스코드 스크린샷, 제어 서버, 과거 해커 피해자들의 IP 주소 등이 덤프됐다. 이번에는 Green Leakers 해커들이 MuddyWater 유출에 대한 책임을 졌습니다. 그들은 MuddyWater 운영과 관련된 데이터를 광고하고 판매하는 여러 Telegram 채널과 다크넷 사이트를 소유하고 있습니다.

중동의 사이버 스파이

흙탕물 2017년부터 중동에서 활동해온 그룹이다. 예를 들어, Group-IB 전문가들이 지적한 바와 같이, 해커들은 2019년 XNUMX월부터 XNUMX월까지 터키, 이란, 아프가니스탄, 이라크 및 아제르바이잔의 정부, 교육 기관, 금융, 통신 및 방산 기업을 대상으로 일련의 피싱 메일링을 수행했습니다.

그룹 구성원은 PowerShell을 기반으로 자체 개발한 백도어를 사용합니다. 전력 상태. 그는 할 수있다:

• 로컬 및 도메인 계정, 사용 가능한 파일 서버, 내부 및 외부 IP 주소, 이름 및 OS 아키텍처에 대한 데이터를 수집합니다.
• 원격 코드 실행을 수행합니다.
• C&C를 통해 파일 업로드 및 다운로드
• 악성 파일 분석에 사용되는 디버깅 프로그램의 존재를 탐지합니다.
• 악성 파일 분석 프로그램이 발견되면 시스템을 종료합니다.
• 로컬 드라이브에서 파일을 삭제합니다.
• 스크린샷을 찍으세요.
• Microsoft Office 제품의 보안 조치를 비활성화합니다.

어떤 시점에서 공격자는 실수를 저질렀고 ReaQta의 연구원은 테헤란에 있는 최종 IP 주소를 획득했습니다. 전문가들은 이 그룹이 공격한 목표와 사이버 스파이 활동과 관련된 목표를 고려할 때 이 그룹이 이란 정부의 이익을 대표한다고 제안했습니다.

공격 지표씨앤씨:

• 검투사[.]tk
• 94.23.148[.]194
• 192.95.21[.]28
• 46.105.84[.]146
• 185.162.235[.]182

파일:

• 09aabd2613d339d90ddbd4b7c09195a9
• cfa845995b851aacdf40b8e6a5b87ba7
• a61b268e9bc9b7e6c9125cdbfb1c422a
• f12bab5541a7d8ef4bbca81f6fc835a3
• a066f5b93f4ac85e9adfe5ff3b10bc28
• 8a004e93d7ee3b26d94156768bc0839d
• 0638adf8fb4095d60fbef190a759aa9e
• eed599981c097944fa143e7d7f7e17b1
• 21aebece73549b3c4355a6060df410e9
• 5c6148619abb10bb3789dcfb32f759a6

공격받고 있는 투르키예

10년 2019월 XNUMX일, Group-IB 전문가들은 터키 군용 전자 분야 최대 기업인 터키 회사 ASELSAN A.Ş의 우편 주소 유출을 발견했습니다. 해당 제품에는 레이더 및 전자 제품, 전기 광학, 항공 전자 공학, 무인 시스템, 육상, 해군, 무기 및 대공 방어 시스템이 포함됩니다.

Group-IB 전문가는 POWERSTATS 악성 코드의 새로운 샘플 중 하나를 연구하면서 미끼로 사용된 공격자 그룹 MuddyWater가 정보 및 방어 기술 분야 솔루션을 생산하는 회사인 Koç Savunma와 Tubitak Bilgem 간의 라이센스 계약을 문서화한 것으로 판단했습니다. , 정보 보안 연구 센터 및 첨단 기술. Koç Savunma의 연락 담당자는 Koç Bilgi ve Savunma Teknolojileri A.Ş에서 프로그램 관리자 직책을 맡은 Tahir Taner Tımış였습니다. 2013년 2018월부터 XNUMX년 XNUMX월까지. 나중에 그는 ASELSAN A.Ş에서 일하기 시작했습니다.

샘플 미끼 문서
사용자가 악성 매크로를 활성화하면 POWERSTATS 백도어가 피해자의 컴퓨터에 다운로드됩니다.

이 미끼 문서(MD5: 0638adf8fb4095d60fbef190a759aa9e) 연구원들은 생성 날짜 및 시간, 사용자 이름, 포함된 매크로 목록을 포함하여 동일한 값을 포함하는 세 개의 추가 샘플을 찾을 수 있었습니다.

• ListOfHackedEmails.doc(eed599981c097944fa143e7d7f7e17b1)
• asd.doc(21aebece73549b3c4355a6060df410e9)
• F35-사양.doc(5c6148619abb10bb3789dcfb32f759a6)

다양한 미끼 문서의 동일한 메타데이터 스크린샷

이름이 있는 발견된 문서 중 하나 ListOfHackedEmails.doc 도메인에 속하는 34개의 이메일 주소 목록이 포함되어 있습니다. @aselsan.com.tr.

Group-IB 전문가들은 공개된 유출에서 이메일 주소를 확인한 결과 그 중 28개가 이전에 발견된 유출에서 손상되었음을 발견했습니다. 사용 가능한 유출의 혼합을 확인하면 이 도메인과 관련된 약 400개의 고유 로그인과 해당 비밀번호가 나타났습니다. 공격자가 공개적으로 사용 가능한 이 데이터를 사용하여 ASELSAN A.Ş를 공격했을 가능성이 있습니다.

ListOfHackedEmails.doc 문서의 스크린샷

공개 유출에서 감지된 450개 이상의 로그인-비밀번호 쌍 목록 스크린샷
발견된 샘플 중에는 ''라는 제목의 문서도 있었다. F35-사양.doc, F-35 전투기를 언급합니다. 미끼문서는 F-35 다목적 전폭기의 제원으로 기체의 특성과 가격을 명시한 것이다. 이 미끼 문서의 주제는 터키가 S-35 시스템을 구매한 후 미국이 F-400 공급을 거부하고 F-35 라이트닝 II에 대한 정보를 러시아에 전송하겠다는 위협과 직접적으로 관련되어 있습니다.

수신된 모든 데이터에 따르면 MuddyWater 사이버 공격의 주요 대상은 터키에 위치한 조직이었습니다.

Gladiyator_CRK와 Nima Nikjoo는 누구인가요?

앞서 2019년 XNUMX월에는 한 Windows 사용자가 Gladiyator_CRK라는 닉네임으로 생성한 악성 문서가 발견되었습니다. 이 문서들은 POWERSTATS 백도어를 배포하고 비슷한 이름의 C&C 서버에도 연결되었습니다. 검투사[.]tk.

이는 사용자 Nima Nikjoo가 14년 2019월 XNUMX일 Twitter에 MuddyWater와 관련된 난독화된 코드를 해독하려고 시도한 후에 수행되었을 수 있습니다. 이 트윗에 대한 댓글에서 연구원은 이 정보가 기밀이기 때문에 이 악성 코드에 대한 손상 지표를 공유할 수 없다고 말했습니다. 안타깝게도 해당 게시물은 이미 삭제되었지만 그 흔적은 온라인에 남아 있습니다.

Nima Nikjoo는 이란 비디오 호스팅 사이트 dideo.ir 및 videoi.ir의 Gladiyator_CRK 프로필 소유자입니다. 이 사이트에서 그는 다양한 공급업체의 바이러스 백신 도구를 비활성화하고 샌드박스를 우회하는 PoC 익스플로잇을 시연합니다. Nima Nikjoo는 자신이 네트워크 보안 전문가이자 이란 통신 회사인 MTN Irancell에서 일하는 리버스 엔지니어이자 악성 코드 분석가라고 썼습니다.

Google 검색결과에 저장된 동영상 스크린샷:

이후 19년 2019월 16일 소셜 네트워크 트위터 사용자 니마 닛주(Nima Nikjoo)는 닉네임을 악성코드 파이터(Malware Fighter)로 변경하고 관련 게시물과 댓글도 삭제했다. dideo.ir을 호스팅하는 동영상의 Gladiyator_CRK 프로필도 YouTube의 경우와 마찬가지로 삭제되었으며 프로필 자체의 이름은 N Tabrizi로 변경되었습니다. 그러나 거의 한 달 후(2019년 XNUMX월 XNUMX일) 트위터 계정에서 다시 니마 닛주라는 이름을 사용하기 시작했습니다.

조사 과정에서 Group-IB 전문가들은 Nima Nikjoo가 사이버 범죄 활동과 관련하여 이미 언급된 사실을 발견했습니다. 2014년 33월 이란 Khabarestan 블로그에는 사이버 범죄 그룹 Iranian Nasr Institute와 관련된 개인에 대한 정보가 게시되었습니다. 한 FireEye 조사에 따르면 Nasr Institute는 APT2011의 계약자였으며 Operation Ababil이라는 캠페인의 일환으로 2013년부터 XNUMX년까지 미국 은행에 대한 DDoS 공격에도 연루된 것으로 나타났습니다.

그래서 같은 블로그에서는 이란인을 감시하기 위한 악성코드를 개발하고 있는 Nima Nikju-Nikjoo와 그의 이메일 주소가 Gladiator_cracker@yahoo[.]com으로 언급되었습니다.

이란 Nasr 연구소의 사이버 범죄자 데이터 스크린샷:

강조 표시된 텍스트를 러시아어로 번역: Nima Nikio - 스파이웨어 개발자 - 이메일:.

이 정보에서 볼 수 있듯이 이메일 주소는 공격에 사용된 주소와 사용자 Gladiyator_CRK 및 Nima Nikjoo와 연결되어 있습니다.

또한 15년 2017월 XNUMX일 기사에는 Nikjoo가 이력서에 Kavosh Security Center에 대한 언급을 게시하는 데 다소 부주의했다고 명시되어 있습니다. 먹다 의견Kavosh 보안 센터는 이란 정부의 지원을 받아 친정부 해커들에게 자금을 지원하고 있습니다.

Nima Nikjoo가 근무했던 회사에 대한 정보:

트위터 사용자 Nima Nikjoo의 LinkedIn 프로필에는 그가 2006년부터 2014년까지 근무했던 Kavosh 보안 센터로 처음 근무한 곳이 나와 있습니다. 업무를 진행하면서 다양한 악성코드를 연구하고 리버스, 난독화 관련 업무도 다루었습니다.

Nima Nikjoo가 LinkedIn에서 근무한 회사에 대한 정보:

MuddyWater와 높은 자존감

MuddyWater 그룹은 정보 보안 전문가가 게시한 모든 보고서와 메시지를 주의 깊게 모니터링하고, 처음에는 연구원들을 쫓아내기 위해 의도적으로 허위 플래그를 남겼다는 점이 궁금합니다. 예를 들어, 첫 번째 공격은 일반적으로 FIN7 그룹과 관련된 DNS 메신저 사용을 탐지하여 전문가를 오도했습니다. 다른 공격에서는 코드에 중국어 문자열을 삽입했습니다.

또한, 이 그룹은 연구자들에게 메시지를 남기는 것을 좋아합니다. 예를 들어 Kaspersky Lab은 올해 위협 등급에서 MuddyWater를 3위로 선정한 것을 좋아하지 않았습니다. 동시에 MuddyWater 그룹으로 추정되는 누군가가 LK 바이러스 백신을 비활성화하는 공격 PoC를 YouTube에 업로드했습니다. 그들은 기사 아래에 댓글도 남겼습니다.

Kaspersky Lab 바이러스 백신 비활성화에 대한 비디오 스크린샷과 아래 설명:

'니마닛주'의 개입에 대해서는 아직 명확하게 결론을 내리기는 어렵다. Group-IB 전문가들은 두 가지 버전을 검토하고 있습니다. 실제로 Nima Nikjoo는 MuddyWater 그룹의 해커일 수 있으며, 그의 부주의와 네트워크 활동 증가로 인해 밝혀졌습니다. 두 번째 옵션은 의심을 돌리기 위해 그룹의 다른 구성원에 의해 의도적으로 "노출"되는 것입니다. 어쨌든 Group-IB는 연구를 계속하고 있으며 그 결과를 반드시 보고할 것입니다.

이란 APT의 경우, 일련의 유출과 유출 이후 아마도 심각한 "보고"에 직면하게 될 것입니다. 해커는 도구를 심각하게 변경하고, 트랙을 정리하고, 가능한 "두더지"를 찾아내야 합니다. 전문가들은 타임아웃까지 걸릴 가능성도 배제하지 않았지만 잠시 휴식을 취한 뒤 다시 이란 APT 공격이 이어졌다.

출처 : habr.com