Iraniani pro-regimen hackers in magno malo sunt. Per fontem, ignoti homines in Telegram - scindi ediderunt "secretum liberorum" in Telegram - informationes de coetibus APT coniungendis cum imperio Iraniano - Oleum rig ΠΈ MuddyWater β instrumenta, victimae, hospites. Quisque at efficitur neque. Mense Aprili, Societas IB specialitas detegit rimam inscriptionum electronicarum Turcorum corporationis ASELSAN A.Ε, quae radios militaris militaris et electronic systema defensionis pro viribus armatorum Turcorum producit. Anastasia Tikhonova, Group-IB Provecta comminatio Research Team Dux, et Nikita Rostovtsev, junior analysta apud Group-IB, cursum oppugnationis in ASELSAN A. described descripsit et participem possibilem invenit. MuddyWater.
Illuminatio per Telegram
Leak circulorum APT Iranianorum incepit ab eo quod Lab Doukhtegan fons codicis instrumentorum sex APT34 (aka OilRig et HelixKitten), inscriptiones IP et dominia quae in operationibus implicantur, necnon notitia in 66 victimarum hackers, in quibus Etihad Airlines et Emirates National Oil. Lab Doookhtegan etiam notitias de praeteritis operationibus et informationibus de operariis ministerii Iraniani Informationis et Nationalis Securitatis operariorum emanasse, qui cum operationibus sodalitatis associantur. OilRig coetus APT Iran conexus exstitit qui ab anno circiter MMXIV et scuta gubernationis, oeconomicorum et militarium Institutorum, necnon societatum energiae et telecommunicationis in Medio Oriente et Sinis.
Postquam OilRig patefactum est, effluat - informationes de actionibus alterius coetus pro-statis ex Irania, MuddyWater apparuit in obscuro et in Telegram. Nihilominus, dissimile primo effluo, hoc tempus non erat fons codicis qui edebatur, sed avolat, inclusa emissiones fontium coderum, ministrantium potestate, necnon IP inscriptiones praeteritorum victimarum hackers. Hoc tempore, Viridis Leakers hackers responsabilitatem suscepit de Leak de MuddyWater. Plures canales telegraphi possident et situs tenebrarum ubi ostentant et vendunt notitias operationes MuddyWater pertinentes.
Cyberus exploratores e Medio Oriente
MuddyWater coetus est qui ab anno MMXVII in Medio Oriente fuit activus. Exempli gratia, ut periti Group-IB notant, a Februario ad Aprilem MMXIX, hackers perfecerunt seriem illus mailingorum quae ad regimen, institutiones scholasticas, oeconomicas, telecommunicationes et societates defensionis in Turcia, Irania, Afghanistan, Iraquia et Azerbaijan impleverunt.
Sodales coetus posticum suae evolutionis utuntur fundatur in PowerShell, quod vocatur POWERSTATS. Potest:
- notitias collectas de rationibus localibus et dominicis, in promptu tabellariorum, interna et externa IP inscriptiones, nomen et architectura OS;
- exsequi remotiorem codicem exsecutioni mandare;
- upload and download files via C&C;
- deprehendere praesentiam debugging programmatis in analysi malitiosorum imaginum;
- systema conclusit, si rationes malitiosarum imaginum examinandorum inveniantur;
- delete lima ex locorum pellit;
- eenshotsscray tolle;
- inactivare securitatem mensuras in Microsoft Office products.
In aliquo loco oppugnatores erraverunt et investigatores ex ReaQta impetraverunt ad obtinendam ultimam IP inscriptionem, quae in Tehran sita erat. Datae scuta globi oppugnatae, necnon proposita eius ad cyberum espionage pertinentia, periti suggesserunt catervam repraesentare utilitates imperii Iraniani.
Impetum IndicatoresC&C:
- gladiyator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Tabulae:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
TΓΌrkiye sub oppugnatione
Die X mensis Aprilis anno MMXIX, Societas IB specialium de emanatione inscriptionum electronicarum turcicarum societatis ASELSAN A.Ε, maxima societas in campo electronicorum militarium in Turcia repertus est. Producta eius includunt radar et electronica, electro-optica, avionica, systemata inanibus, terra, navalia, arma et systemata aerea defensionis.
Investigans unum e novis exemplaribus malware POWERSTATS, peritis Group-IB decrevit coetus oppugnantium MuddyWater ut esca documenti licentiae pacti inter KoΓ§ Savunma, societas solutionum in campo informationis et technologiarum defensionis, et Tubitak Bilgem. , indicio securitatis investigandi centrum et technologiae provectae. Contactus personae KoΓ§ Savunma erat Tahir Taner TΔ±mΔ±Ε, qui positionem programmatis Procuratoris in KoΓ§ Bilgi ve Savunma Teknolojileri A.Ε tenuit. a Septembri MMXIII ad Decembrem MMXVIII. Postea in ASELSAN A.S.
Sample inlex documentum
Postquam usor malignos macros operatur, posticum POWERSTATS computatrum victimae emissa est.
Per metadatam documenti huius inlecebrae (MD5: 0638adf8fb4095d60fbef190a759aa9e) Inquisitores tria exempla additamenta in quibus valores identicos invenire poterant, inclusa date et tempus creandi, nomen usoris et indicem numerorum contentorum:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Tortor eiusdem metadata variarum inlecebrarum documentorum
Una documenta reperta cum nomine ListOfHackedEmails.doc continet indicem XXXIV inscriptio electronica ad domain @aselsan.com.tr.
Societas-IB speciales electronicas inscriptiones electronicas in scillis publice promptis sedatas et inventas 28 ex eis in libero antea inventas compromiserunt. Reperiens commistum de liberorum promptorum ostendit circiter 400 logins singulares cum hac provincia et Tesserae illis sociatis. Fieri potest ut oppugnatores hac notitia available publice uterentur ad oppugnandum ASELSAN A.S.
Screenshot documenti ListOfHackedEmails.doc
Screenshot de elenchum plus quam CDL detectum login-password paria in publicum pinum
Inter exemplaria detecta documentum etiam erat cum titulo F35-Specifications.docreferendo ad F-35 pugnatorem jet. Cibus documentum specificatio est pro F-35 multi-partis-bomber pugnantis, indicans notas et pretium aircraft. Thema huius documenti inlecebras directe refert ad US recusationem ad supplementum F-35s post emptionem Turciae systematum S-400 et minas informationes transferendi de F-35 Fulgur II in Russiam.
Omnes notitiae receptae significaverunt scuta principalia oppugnationum MuddyWater cyberorum instituta in Turcia esse posita.
Qui sunt Gladiyator_CRK et Nima Nikjoo?
Antea, mense Martio 2019, documenta malitiosa inventa sunt ab uno usore Fenestra usoris sub cognomento Gladiyator_CRK. Haec documenta etiam POWERSTATS posticam distribuit et servo C&C simili nomine connexum est gladiyator[.]tk.
Hoc fortasse factum est post Nima Nikjoo in Twitter usoris die 14 mensis Martii anno 2019 missae, codicem obfuscatum cum MuddyWater coniungendum conans decode. In commenta ad hoc tweet, indagator dixit se non posse communicare indicibus compromissi huius malware, sicut haec notitia secreta est. Infeliciter, cursoria iam deleta est, sed vestigia eius online remanent:
Nima Nikjoo est dominus profile Gladiyator_CRK in Irania visorum locorum hostilium dideo.ir et videoi.ir. In hoc situ demonstrat PoC res gestas instrumentorum antivirorum ex variis venditoribus et sandboxes praeterire. Nima Nikjoo de se scribit se specialist securitatis retis esse, necnon machinatorem adversarium et analyticum malware, qui pro MTN Irancell, Iraniano telecommunicationum societate laborat.
Screenshot in proventuum inquisitionum Google servatarum imaginum servatarum:
Postea, die 19 mensis Martii, anno 2019, Nima Nikjoo usor in retis socialibus Twitter cognomen suum Malware Pugnatori mutavit, et etiam paginas et commentarios affines delevit. Profile of Gladiyator_CRK in dideo hosting video.ir etiam deletum est, ut in YouTube factum est, et ipsa profile N Tabrizi appellata est. Tamen, post mensem prope (die 16 Aprilis 2019), Twitter propter nomen Nima Nikjoo iterum uti coepit.
In studio, peritiae Group-IB Nima Nikjoo iam in nexu cum cybercriminalibus actionibus repertam reperit. Mense Augusto 2014, Irania Khabarestan diariorum divulgavit informationes de singulis consociata cum coetus cybercriminalis Iraniani Nasr Instituti. Investigatio una FireEye affirmavit Nasr Institutum redemptorem APT33 fuisse et etiam in DDoS oppugnationibus US ripas inter 2011 et MMXIII implicatum esse ut partem expeditionis Operationis Ababil nuncupatam.
Sic in eodem blogo, Nima Nikju-Nikjoo mentio facta est, qui malware in Iran exploratum promovebat, et inscriptionem electronicam: gladiyator_cracker@yahoo[.]com.
Screenshot data cybercriminalibus ab Instituti Nasr Iraniani attribuitur:
Translatio textuum illustrabilium in Russian: Nima Nikio - Spyware Developer - Email:.
Ut ex his indiciis constare potest, inscriptio electronica consociata cum inscriptione in oppugnationibus et utentibus Gladiyator_CRK et Nima Nikjoo coniungitur.
Praeterea, die 15 Iunii 2017 affirmavit articulum Nikjoo aliquantum neglegentem fuisse in indiciis ad Kavosh Centre Securitatis in repetendis. Eat quod Kavosh Securitatis Centrum ab Iraniano statu ad administrationem pro-regiminis hackers sustentatur.
Informationes de societate ubi Nima Nikjoo laboravit:
Twitter usoris Nima Nikjoo LinkedIn profile ponit primum locum laboris suum sicut Kavosh Securitatis Centre, ubi ab MMVI ad MMXIV laboravit. In opere suo variis malware operam dedit, ac etiam in opere e contrario et obfuscatione actis tractavit.
Informationes de societate Nima Nikjoo laboraverunt in LinkedIn:
MuddyWater et sui habeatis
Curiosum est ut coetus MuddyWater diligenter monitores omnes renuntiationes et nuntios a peritis securitatis informationis de illis evulgatis et etiam de industria falsa vexilla primo reliquerit ut inquisitores odorem abicerent. Exempli causa, primus impetus peritorum decepit usum DNS Messenger detecto, qui cum coetus FIN7 erat communis. Aliis impetus, chordas Sinenses in codicem imposuerunt.
Praeterea, coetus amat nuntios investigatores relinquere. Exempli gratia, non probaverunt quod Kaspersky Lab MuddyWater in 3 loco in suo anno minas censuit collocavit. Eodem momento, aliquis - scilicet coetus MuddyWater - PoC facinus in YouTube misit qui LK antivirum disablet. Etiam commentarium in articulo reliquerunt.
Eenshotsscray de videndi inactivare Kaspersky Lab antivirum et commentarium infra:
Adhuc difficile est concludere indubitatam de implicatione "Nima Nikjoo". Periti Group-IB duas versiones considerant. Nima Nikjoo quidem piratica ex coetus MuddyWater potest esse, qui ob neglegentiam eius et industriam in retiaculis in lucem venit. Altera optio est ut ab aliis sodalibus sodalibus consulto "expositus" esset ut suspicionem a se averteret. Ceterum, Group-IB investigationem suam continuat et eventus suos definite nuntiabit.
APTs Iraniani, post liberorum et liberorum seriem, fortasse gravem "debriefing" - hackers cogentur serio mutare instrumenta, eorum vestigia mundare et in suis ordinibus "moles" fieri posse. Periti non imperaverunt ut tempus temporis etiam caperent, sed post breve intervallum impetus Iranianorum APT iterum perseveraverunt.
Source: www.habr.com