ရွှံ့ရေများ- MuddyWater မှ ဟက်ကာများက တူရကီစစ်တပ် အီလက်ထရွန်းနစ် ထုတ်လုပ်သူအား တိုက်ခိုက်ပုံ

အီရန်အစိုးရကို လိုလားသော ဟက်ကာများသည် ကြီးမားသော ဒုက္ခရောက်နေပါသည်။ နွေဦးကာလတစ်လျှောက်တွင် အီရန်အစိုးရနှင့် ဆက်စပ်နေသည့် APT အဖွဲ့များအကြောင်း အချက်အလက်များကို Telegram တွင် အမည်မသိလူများက “လျှို့ဝှက်ပေါက်ကြားမှုများ” ထုတ်ဝေခဲ့သည်။ OilRig и ရွှံ့ရေ - ၎င်းတို့၏ကိရိယာများ၊ သားကောင်များ၊ ဆက်သွယ်မှုများ။ ဒါပေမယ့် လူတိုင်းနဲ့ မပတ်သက်ပါဘူး။ ဧပြီလတွင်၊ Group-IB ကျွမ်းကျင်သူများသည် တူရကီစစ်တပ်အတွက် နည်းဗျူဟာမြောက် စစ်ရေးရေဒီယိုနှင့် အီလက်ထရွန်နစ် ကာကွယ်ရေးစနစ်များ ထုတ်လုပ်ပေးသည့် တူရကီကော်ပိုရေးရှင်း ASELSAN A.Ş ၏ စာပို့လိပ်စာများ ပေါက်ကြားမှုကို တွေ့ရှိခဲ့သည်။ Anastasia TikhonovaGroup-IB Advanced Threat Research Team Leader နှင့် Nikita RostovtsevGroup-IB မှ အငယ်တန်း အကဲဖြတ်သူ သည် ASELSAN A.Ş တိုက်ခိုက်မှု ဖြစ်စဉ်ကို ဖော်ပြခဲ့ပြီး ဖြစ်နိုင်ခြေရှိသော ပါဝင်သူတစ်ဦးကို တွေ့ရှိခဲ့သည်။ ရွှံ့ရေ.

Telegram မှတဆင့်အလင်းပေးသည်။

အချို့သော Lab Doukhtegan ဟူသောအချက်ဖြင့် အီရန် APT အဖွဲ့များ ပေါက်ကြားလာသည်။ လူသိရှင်ကြားလုပ်တယ်။ APT34 ကိရိယာခြောက်ခု (တနည်းအားဖြင့် OilRig နှင့် HelixKitten) ၏ အရင်းအမြစ်ကုဒ်များသည် စစ်ဆင်ရေးတွင် ပါဝင်သော IP လိပ်စာများနှင့် ဒိုမိန်းများအပြင် Etihad Airways နှင့် Emirates National Oil အပါအဝင် ဟက်ကာများ၏ သားကောင် ၆၆ ဦး၏ အချက်အလက်များကို ဖော်ပြခဲ့သည်။ Lab Doookhtegan သည် အဖွဲ့၏ယခင်လုပ်ဆောင်မှုများနှင့် အဖွဲ့၏လုပ်ဆောင်မှုများနှင့်ဆက်စပ်နေသည်ဟုစွပ်စွဲခံထားရသော အီရန်သတင်းအချက်အလက်နှင့်အမျိုးသားလုံခြုံရေးဝန်ကြီးဌာနမှဝန်ထမ်းများအကြောင်းအချက်အလက်များကိုလည်း ပေါက်ကြားခဲ့သည်။ OilRig သည် 66 ခုနှစ်ဝန်းကျင်ကတည်းက တည်ရှိခဲ့သော အီရန်နှင့်ချိတ်ဆက်ထားသော APT အဖွဲ့ဖြစ်ပြီး အစိုးရ၊ ဘဏ္ဍာရေးနှင့် စစ်ဘက်အဖွဲ့အစည်းများအပြင် အရှေ့အလယ်ပိုင်းနှင့် တရုတ်နိုင်ငံရှိ စွမ်းအင်နှင့် ဆက်သွယ်ရေးကုမ္ပဏီများကို ပစ်မှတ်ထားသည်။

OilRig ကို ဖော်ထုတ်ပြီးနောက်တွင် ပေါက်ကြားမှုများ ဆက်လက်ဖြစ်ပွားခဲ့သည် - အီရန်နိုင်ငံမှ MuddyWater မှ အခြားနိုင်ငံတော်လိုလားသူအဖွဲ့၏ လှုပ်ရှားမှုများအကြောင်း အချက်အလက်များသည် darknet နှင့် Telegram တွင် ပေါ်ထွက်ခဲ့သည်။ သို့သော်လည်း ပထမပေါက်ကြားမှုနှင့် မတူဘဲ၊ ယခုတစ်ကြိမ်တွင် ၎င်းသည် ထုတ်ဝေခဲ့သည့် ရင်းမြစ်ကုဒ်များမဟုတ်သော်လည်း အရင်းအမြစ်ကုဒ်များ၏ ဖန်သားပြင်ဓာတ်ပုံများ၊ ထိန်းချုပ်မှုဆာဗာများနှင့် ယခင်က ဟက်ကာများ၏ သားကောင်များ၏ IP လိပ်စာများအပါအဝင် အမှိုက်ပုံများ။ ယခုတစ်ကြိမ်တွင် Green Leakers ဟက်ကာများက MuddyWater အကြောင်းပေါက်ကြားမှုအတွက် တာဝန်ယူခဲ့သည်။ ၎င်းတို့သည် MuddyWater လုပ်ငန်းများနှင့် သက်ဆိုင်သည့် ဒေတာများကို ကြော်ငြာရောင်းချသည့် Telegram ချန်နယ်များနှင့် Darknet ဆိုက်များစွာကို ပိုင်ဆိုင်ထားသည်။

အရှေ့အလယ်ပိုင်းမှ ဆိုက်ဘာသူလျှိုများ

ရွှံ့ရေ အရှေ့အလယ်ပိုင်းတွင် 2017 ခုနှစ်ကတည်းက စတင်လှုပ်ရှားခဲ့သော အဖွဲ့ဖြစ်သည်။ ဥပမာအားဖြင့်၊ Group-IB မှ ကျွမ်းကျင်သူများ သတိပြုမိသည့်အတိုင်း၊ 2019 ခုနှစ် ဖေဖော်ဝါရီလမှ ဧပြီလအထိ၊ ဟက်ကာများသည် တူရကီ၊ အီရန်၊ အာဖဂန်နစ္စတန်၊ အီရတ်နှင့် အဇာဘိုင်ဂျန်ရှိ အစိုးရ၊ ပညာရေးအဖွဲ့အစည်းများ၊ ဘဏ္ဍာရေး၊ ဆက်သွယ်ရေးနှင့် ကာကွယ်ရေးကုမ္ပဏီများအတွက် ရည်ရွယ်ပြီး ဟက်ကာများသည် ဖြားယောင်းမေးလ်များ ဆက်တိုက်ပြုလုပ်ကြသည်။

အဖွဲ့၀င်များသည် PowerShell ကို အခြေခံ၍ ၎င်းတို့၏ ကိုယ်ပိုင် ဖွံ့ဖြိုးတိုးတက်မှု နောက်ခံကို အသုံးပြုသည်။ POWERSTATS. သူလုပ်နိုင်:

• ပြည်တွင်းနှင့် ဒိုမိန်းအကောင့်များ၊ ရရှိနိုင်သော ဖိုင်ဆာဗာများ၊ အတွင်းနှင့် ပြင်ပ IP လိပ်စာများ၊ အမည်နှင့် OS ဗိသုကာဆိုင်ရာ အချက်အလက်များကို စုဆောင်းပါ။
• ဝေးလံခေါင်သီသောကုဒ်ကိုအကောင်အထည်ဖော်ဆောင်;
• C&C မှတစ်ဆင့် ဖိုင်များကို အပ်လုဒ်လုပ်ကာ ဒေါင်းလုဒ်လုပ်ပါ။
• အန္တရာယ်ရှိသောဖိုင်များကိုခွဲခြမ်းစိတ်ဖြာရာတွင်အသုံးပြုသည့်အမှားရှာပြင်ပရိုဂရမ်များ၏ရှေ့မှောက်တွင်ရှာဖွေတွေ့ရှိ;
• အန္တရာယ်ရှိသောဖိုင်များကိုခွဲခြမ်းစိတ်ဖြာရန်ပရိုဂရမ်များတွေ့ရှိပါကစနစ်အားပိတ်ပါ။
• ဒေသတွင်း drives များမှဖိုင်များကိုဖျက်ပစ်ပါ။
• ဖန်သားပြင်ဓာတ်ပုံများရိုက်ပါ။
• Microsoft Office ထုတ်ကုန်များတွင် လုံခြုံရေးအစီအမံများကို ပိတ်ပါ။

တစ်ချိန်ချိန်တွင်၊ တိုက်ခိုက်သူများသည် အမှားတစ်ခုပြုလုပ်ခဲ့ပြီး ReaQta မှ သုတေသီများသည် Tehran တွင်ရှိသော နောက်ဆုံး IP လိပ်စာကို ရယူနိုင်ခဲ့သည်။ အဖွဲ့မှ တိုက်ခိုက်ခဲ့သည့် ပစ်မှတ်များအပြင် ဆိုက်ဘာသူလျှိုလုပ်ခြင်း နှင့် ပတ်သက်သည့် ၎င်း၏ ရည်မှန်းချက်များ အရ အဆိုပါ အဖွဲ့သည် အီရန် အစိုးရ၏ အကျိုးစီးပွားကို ကိုယ်စားပြုသည်ဟု ကျွမ်းကျင်သူများက အကြံပြုထားသည်။

တိုက်ခိုက်မှုညွှန်းကိန်းများC&C-

• gladiyator[.]tk
• ၂၁၇.၂၃.၁၄[.]၂၇
• ၂၁၇.၂၃.၁၄[.]၂၇
• ၂၁၇.၂၃.၁၄[.]၂၇
• ၂၁၇.၂၃.၁၄[.]၂၇

ဖိုင်များ:

• 09aabd2613d339d90ddbd4b7c09195a9
• cfa845995b851aacdf40b8e6a5b87ba7
• a61b268e9bc9b7e6c9125cdbfb1c422a
• f12bab5541a7d8ef4bbca81f6fc835a3
• a066f5b93f4ac85e9adfe5ff3b10bc28
• 8a004e93d7ee3b26d94156768bc0839d
• 0638adf8fb4095d60fbef190a759aa9e
• eed599981c097944fa143e7d7f7e17b1
• 21aebece73549b3c4355a6060df410e9
• 5c6148619abb10bb3789dcfb32f759a6

Türkiye တိုက်ခိုက်ခံနေရသည်။

ဧပြီလ 10 ရက်၊ 2019 ခုနှစ်တွင် Group-IB မှ ကျွမ်းကျင်သူများသည် တူရကီရှိ စစ်ဘက်ဆိုင်ရာ အီလက်ထရွန်းနစ်နယ်ပယ်တွင် အကြီးဆုံးကုမ္ပဏီဖြစ်သည့် တူရကီကုမ္ပဏီ ASELSAN A.Ş ၏ စာပို့လိပ်စာများ ပေါက်ကြားမှုကို တွေ့ရှိခဲ့သည်။ ၎င်း၏ ထုတ်ကုန်များတွင် ရေဒါနှင့် အီလက်ထရွန်းနစ်ပစ္စည်းများ၊ အီလက်ထရွန်းနစ်အလင်း၊ လေကြောင်းပညာ၊ မောင်းသူမဲ့စနစ်များ၊ မြေပြင်၊ ရေတပ်၊ လက်နက်များနှင့် လေကြောင်းရန်ကာကွယ်ရေးစနစ်များ ပါဝင်သည်။

POWERSTATS malware ၏နမူနာအသစ်များထဲမှ တစ်ခုကို လေ့လာခြင်းဖြင့် Group-IB မှ ကျွမ်းကျင်သူများက MuddyWater သည် တိုက်ခိုက်သူများသည် သတင်းအချက်အလက်နှင့် ကာကွယ်ရေးနည်းပညာနယ်ပယ်တွင် ဖြေရှင်းချက်ထုတ်လုပ်သည့် ကုမ္ပဏီ Koç Savunma၊ နှင့် Tubitak Bilgem တို့ကြား လိုင်စင်သဘောတူညီချက်တစ်ခုအဖြစ် အသုံးပြုထားသော တိုက်ခိုက်သူများအဖွဲ့မှ ဆုံးဖြတ်ခဲ့သည် သတင်းအချက်အလက်လုံခြုံရေး သုတေသနစင်တာနှင့် အဆင့်မြင့်နည်းပညာများ။ Koç Savunma အတွက် အဆက်အသွယ်ရှိသူမှာ Koç Bilgi ve Savunma Teknolojileri A.Ş တွင် ပရိုဂရမ်မန်နေဂျာရာထူးကို ထမ်းဆောင်ခဲ့သော Tahir Taner Tımış ဖြစ်သည်။ စက်တင်ဘာလ 2013 မှ ဒီဇင်ဘာလ 2018 ခုနှစ်။ နောက်ပိုင်းတွင် သူသည် ASELSAN A.Ş တွင် စတင်အလုပ်လုပ်ခဲ့သည်။

နမူနာစာရွက်စာတမ်း
သုံးစွဲသူသည် အန္တရာယ်ရှိသော မက်ခရိုများကို အသက်သွင်းပြီးနောက်၊ POWERSTATS နောက်ခံတံခါးကို သားကောင်၏ကွန်ပျူတာသို့ ဒေါင်းလုဒ်လုပ်ထားသည်။

ဤအလိမ်အညာစာတမ်း၏ မက်တာဒေတာကို ကျေးဇူးတင်ပါသည် (MD5- 0638adf8fb4095d60fbef190a759aa9e) သုတေသီများသည် ဖန်တီးရက်စွဲနှင့် အချိန်၊ အသုံးပြုသူအမည်နှင့် မက်ခရိုများစာရင်းအပါအဝင် ထပ်တူထပ်မျှတန်ဖိုးများပါရှိသော ထပ်လောင်းနမူနာသုံးခုကို ရှာဖွေတွေ့ရှိနိုင်သည်-

• ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
• asd.doc (21aebece73549b3c4355a6060df410e9)
• F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)

အမျိုးမျိုးသော လှည့်စားစာရွက်စာတမ်းများ၏ ထပ်တူထပ်မျှသော မက်တာဒေတာ၏ ဖန်သားပြင်ဓာတ်ပုံ

ရှာဖွေတွေ့ရှိခဲ့သော စာရွက်စာတမ်းများအနက်မှ အမည်ပါရှိသည်။ ListOfHackedEmails.doc ဒိုမိန်းနှင့်သက်ဆိုင်သည့် အီးမေးလ်လိပ်စာ ၃၄ ခုစာရင်းပါရှိသည်။ @aselsan.com.tr.

Group-IB ကျွမ်းကျင်သူများသည် လူသိရှင်ကြားရရှိနိုင်သော ပေါက်ကြားမှုများတွင် အီးမေးလ်လိပ်စာများကို စစ်ဆေးခဲ့ပြီး ၎င်းတို့ထဲမှ ၂၈ ဦးသည် ယခင်က ရှာဖွေတွေ့ရှိထားသော ပေါက်ကြားမှုများတွင် အပေးအယူလုပ်ထားကြောင်း တွေ့ရှိခဲ့သည်။ ရရှိနိုင်သော ပေါက်ကြားမှုများ ရောနှောမှုကို စစ်ဆေးခြင်းတွင် ၎င်းတို့အတွက် ဤဒိုမိန်းနှင့် စကားဝှက်များနှင့် ဆက်စပ်နေသော ထူးခြားသော လော့ဂ်အင် 28 ခန့်ကို ပြသခဲ့သည်။ တိုက်ခိုက်သူများသည် ASELSAN A.Ş ကို တိုက်ခိုက်ရန်အတွက် လူသိရှင်ကြား ရရှိနိုင်သော အချက်အလက်ကို အသုံးပြုခဲ့ခြင်း ဖြစ်နိုင်သည်။

ListOfHackedEmails.doc စာရွက်စာတမ်း၏ ဖန်သားပြင်ဓာတ်ပုံ

အများသူငှာပေါက်ကြားမှုများတွင် တွေ့ရှိသော လော့ဂ်အင်-စကားဝှက်အတွဲပေါင်း 450 ကျော်၏ မျက်နှာပြင်ဓာတ်ပုံ
ရှာဖွေတွေ့ရှိခဲ့သည့် နမူနာများထဲတွင် ခေါင်းစဉ်ပါ စာရွက်စာတမ်းတစ်ခုလည်း ပါရှိသည်။ F35-Specifications.docF-35 တိုက်လေယာဉ်ကို ရည်ညွှန်းသည်။ ငါးစာစာရွက်စာတမ်းသည် F-35 ဘက်စုံသုံး တိုက်လေယာဉ်အတွက် သတ်မှတ်ချက်တစ်ခုဖြစ်ပြီး လေယာဉ်၏ လက္ခဏာများနှင့် ဈေးနှုန်းကို ညွှန်ပြပါသည်။ ဤအလိမ်အညာစာတမ်း၏ ခေါင်းစဉ်သည် တူရကီမှ S-35 စနစ်များကို ဝယ်ယူပြီးနောက် F-400 တိုက်လေယာဉ်များ ထောက်ပံ့ရန် အမေရိကန်မှ ငြင်းဆန်ခြင်းနှင့် F-35 Lightning II ဆိုင်ရာ အချက်အလက်များ ရုရှားသို့ လွှဲပြောင်းခြင်းဆိုင်ရာ ခြိမ်းခြောက်မှုတို့နှင့် တိုက်ရိုက်သက်ဆိုင်သည်။

MuddyWater ဆိုက်ဘာတိုက်ခိုက်မှုများ၏ အဓိကပစ်မှတ်များမှာ တူရကီတွင် တည်ရှိသည့် အဖွဲ့အစည်းဖြစ်ကြောင်း ရရှိထားသည့် အချက်အလက်အားလုံးက ဖော်ပြသည်။

Gladiyator_CRK နဲ့ Nima Nikjoo က ဘယ်သူတွေလဲ။

မတ်လ 2019 အစောပိုင်းတွင်၊ Gladiyator_CRK ဟုအမည်ပြောင်အောက်တွင် Windows အသုံးပြုသူတစ်ဦးမှ ဖန်တီးထားသော အန္တရာယ်ရှိသောစာရွက်စာတမ်းများကို ရှာဖွေတွေ့ရှိခဲ့သည်။ ဤစာရွက်စာတမ်းများသည် POWERSTATS backdoor ကိုလည်း ဖြန့်ဝေပြီး အလားတူအမည်ဖြင့် C&C ဆာဗာသို့ ချိတ်ဆက်ထားသည်။ gladiyator[.]tk.

အသုံးပြုသူ Nima Nikjoo သည် မတ်လ 14 ရက်၊ 2019 တွင် MuddyWater နှင့်ဆက်စပ်နေသော ရှုပ်ထွေးနေသောကုဒ်ကို ကုဒ်ကိုကုဒ်ဖျက်ရန်ကြိုးစားနေပြီးနောက် ၎င်းကိုလုပ်ဆောင်နိုင်ခဲ့သည်။ ဤ tweet တွင် မှတ်ချက်များတွင်၊ ဤအချက်အလက်သည် လျှို့ဝှက်ထားသောကြောင့် ဤ malware အတွက် အပေးအယူဆိုင်ရာ ညွှန်ကိန်းများကို မျှဝေခြင်းမပြုနိုင်ကြောင်း သုတေသီက ပြောကြားခဲ့သည်။ ကံမကောင်းစွာဖြင့်၊ ပို့စ်ကို ဖျက်ပြီးဖြစ်သော်လည်း၊ ၎င်း၏ခြေရာများသည် အွန်လိုင်းတွင် ရှိနေသည်-

Nima Nikjoo သည် Iranian ဗီဒီယို hosting sites dideo.ir နှင့် videoi.ir ရှိ Gladiyator_CRK ပရိုဖိုင်၏ ပိုင်ရှင်ဖြစ်သည်။ ဤ site တွင်၊ ရောင်းချသူအမျိုးမျိုးမှ antivirus tools များကိုပိတ်ရန်နှင့် sandbox များကိုရှောင်ရန် PoC exploits ကိုသရုပ်ပြသည်။ Nima Nikjoo သည် အီရန်ဆက်သွယ်ရေးကုမ္ပဏီ MTN Irancell တွင် အလုပ်လုပ်သော reverse engineer နှင့် malware ခွဲခြမ်းစိတ်ဖြာသူဖြစ်ကြောင်း သူ့ကိုယ်သူ ရေးသားထားသည်။

Google ရှာဖွေမှုရလဒ်များတွင် သိမ်းဆည်းထားသော ဗီဒီယိုများ၏ ဖန်သားပြင်ဓာတ်ပုံ-

19 ခုနှစ် မတ်လ 2019 ရက်နေ့တွင် လူမှုကွန်ရက် Twitter မှ Nima Nikjoo သည် ၎င်း၏အမည်ပြောင်ကို Malware Fighter ဟု ပြောင်းလဲခဲ့ပြီး ဆက်စပ်ပို့စ်များနှင့် မှတ်ချက်များကိုလည်း ဖျက်ခဲ့သည်။ ဗီဒီယို hosting dideo.ir ရှိ Gladiyator_CRK ၏ ပရိုဖိုင်ကိုလည်း YouTube တွင် အလားတူပင် ဖျက်လိုက်ပြီး ပရိုဖိုင်ကိုယ်တိုင် N Tabrizi ဟု အမည်ပြောင်းခဲ့သည်။ သို့သော်လည်း တစ်လနီးပါးကြာပြီးနောက် (ဧပြီ ၁၆၊ ၂၀၁၉) တွင် Twitter အကောင့်မှ Nima Nikjoo အမည်ကို ထပ်မံအသုံးပြုခဲ့သည်။

လေ့လာမှုအတွင်း၊ Group-IB ကျွမ်းကျင်သူများက Nima Nikjoo သည် ဆိုက်ဘာရာဇ၀တ်မှုဆိုင်ရာ လှုပ်ရှားမှုများနှင့် ဆက်စပ်၍ ဖော်ပြထားပြီးဖြစ်ကြောင်း တွေ့ရှိခဲ့သည်။ 2014 ခုနှစ် သြဂုတ်လတွင် အီရန် Khabarestan ဘလော့ဂ်သည် ဆိုက်ဘာရာဇ၀တ်မှုအဖွဲ့ Iranian Nasr Institute နှင့် ဆက်စပ်နေသော ပုဂ္ဂိုလ်များအကြောင်း အချက်အလက်များကို ထုတ်ပြန်ခဲ့သည်။ FireEye ၏ စုံစမ်းစစ်ဆေးမှုတစ်ခုတွင် Nasr Institute သည် APT33 အတွက် ကန်ထရိုက်တာဖြစ်ပြီး Operation Ababil ဟုခေါ်သော လှုပ်ရှားမှု၏တစ်စိတ်တစ်ပိုင်းအနေဖြင့် 2011 နှင့် 2013 ခုနှစ်အတွင်း US ဘဏ်များကို DDoS တိုက်ခိုက်မှုများတွင်လည်း ပါဝင်ပတ်သက်ခဲ့ကြောင်း ပြောကြားခဲ့သည်။

ထို့ကြောင့် တူညီသောဘလော့ဂ်တွင် အီရန်နိုင်ငံသားများကို စူးစမ်းရန် malware တီထွင်နေသော Nima Nikju-Nikjoo နှင့် ၎င်း၏အီးမေးလ်လိပ်စာ- gladiyator_cracker@yahoo[.]com တို့ကို ဖော်ပြခဲ့သည်။

Iranian Nasr Institute မှ ဆိုက်ဘာရာဇ၀တ်မှုကျူးလွန်သူများဟု ယူဆရသည့် ဒေတာမျက်နှာပြင်ဓာတ်ပုံ-

မီးမောင်းထိုးပြထားသော စာသားကို ရုရှားဘာသာသို့ ဘာသာပြန်ခြင်း- Nima Nikio - Spyware Developer - အီးမေးလ်-.

ဤအချက်အလက်မှ တွေ့မြင်နိုင်သကဲ့သို့၊ အီးမေးလ်လိပ်စာသည် တိုက်ခိုက်မှုများတွင် အသုံးပြုသည့်လိပ်စာနှင့် အသုံးပြုသူများ Gladyator_CRK နှင့် Nima Nikjoo တို့နှင့် ဆက်စပ်နေသည်။

ထို့အပြင်၊ ဇွန် 15၊ 2017 ဆောင်းပါးတွင် Nikjoo သည် Kavosh Security Center အား ၎င်း၏ကိုယ်ရေးရာဇဝင်တွင် Kavosh Security Center သို့ ကိုးကားချက်တင်ရာတွင် အနည်းငယ်သတိမထားမိကြောင်း ဖော်ပြထားသည်။ စားသည် ကြည့်ရှုခြင်းKavosh လုံခြုံရေးစင်တာအား အစိုးရလိုလားသောဟက်ကာများအား ငွေကြေးထောက်ပံ့ရန် အီရန်နိုင်ငံမှ ပံ့ပိုးပေးထားကြောင်း သိရသည်။

Nima Nikjoo အလုပ်လုပ်ခဲ့သည့် ကုမ္ပဏီအကြောင်း အချက်အလက်

တွစ်တာအသုံးပြုသူ Nima Nikjoo ၏ LinkedIn ပရိုဖိုင်တွင် သူသည် 2006 ခုနှစ်မှ 2014 ခုနှစ်အထိ အလုပ်လုပ်ခဲ့သော Kavosh Security Center အဖြစ် ၎င်း၏ပထမဆုံးအလုပ်အကိုင်နေရာကို စာရင်းပြုစုထားသည်။ သူအလုပ်လုပ်နေစဉ်အတွင်း Malware အမျိုးမျိုးကို လေ့လာခဲ့ပြီး ပြောင်းပြန်နှင့် ရှုပ်ယှက်ခတ်ခြင်းဆိုင်ရာ အလုပ်များကိုလည်း လုပ်ဆောင်ခဲ့သည်။

LinkedIn တွင် အလုပ်လုပ်သော Nima Nikjoo ၏ အချက်အလက်

MuddyWater နှင့် မိမိကိုယ်ကို အထင်ကြီးလေးစားခြင်း။

MuddyWater အဖွဲ့သည် ၎င်းတို့နှင့်ပတ်သက်သည့် သတင်းအချက်အလက်များ လုံခြုံရေးကျွမ်းကျင်သူများထံမှ ထုတ်ဝေထားသော အစီရင်ခံစာများနှင့် မက်ဆေ့ချ်အားလုံးကို ဂရုတစိုက်စောင့်ကြည့်နေပြီး သုတေသီများအား ရနံ့ပျောက်စေရန်အတွက် အစတွင် အတုအယောင်အလံများကိုပင် တမင်ချန်ထားခဲ့သည်မှာ အံ့သြစရာကောင်းပါသည်။ ဥပမာအားဖြင့်၊ ၎င်းတို့၏ပထမဆုံးတိုက်ခိုက်မှုများသည် FIN7 အဖွဲ့နှင့်တွဲဖက်လေ့ရှိသည့် DNS Messenger ကိုအသုံးပြုမှုကို ထောက်လှမ်းခြင်းဖြင့် ကျွမ်းကျင်သူများကို လမ်းလွဲစေပါသည်။ အခြားတိုက်ခိုက်မှုများတွင် ၎င်းတို့သည် ကုဒ်ထဲသို့ တရုတ်စာတန်းများ ထည့်သွင်းခဲ့သည်။

ထို့အပြင်၊ အဖွဲ့သည် သုတေသီများအတွက် မက်ဆေ့ချ်များကို နှစ်သက်သည်။ ဥပမာအားဖြင့်၊ Kaspersky Lab သည် ယခုနှစ်အတွက် ၎င်း၏ခြိမ်းခြောက်မှုအဆင့်သတ်မှတ်ချက်တွင် တတိယနေရာတွင် MuddyWater ထားရှိသည်ကို မကြိုက်ပါ။ တစ်ချိန်တည်းမှာပင်၊ တစ်စုံတစ်ဦး - MuddyWater အဖွဲ့ဟု ယူဆရသော တစ်စုံတစ်ယောက်သည် LK ဗိုင်းရပ်စ်ကို ပိတ်ပစ်သည့် အသုံးချမှုတစ်ခု၏ PoC ကို YouTube သို့ လွှင့်တင်ခဲ့သည်။ သူတို့လည်း ဆောင်းပါးအောက်မှာ မှတ်ချက်တွေ ရေးထားခဲ့တာ။

Kaspersky Lab ဗိုင်းရပ်စ်ပိုးကို ပိတ်ခြင်းဆိုင်ရာ ဗီဒီယို၏ ဖန်သားပြင်ဓာတ်ပုံများနှင့် အောက်တွင် ဖော်ပြချက်-

“Nima Nikjoo” ၏ပါဝင်ပတ်သက်မှုနှင့် ပတ်သက်၍ ရှင်းရှင်းလင်းလင်း ကောက်ချက်ချရန် ခက်ခဲနေသေးသည်။ Group-IB ကျွမ်းကျင်သူများသည် ဗားရှင်းနှစ်မျိုးကို စဉ်းစားနေကြသည်။ Nima Nikjoo သည် အမှန်တကယ်ပင် MuddyWater အဖွဲ့မှ ဟက်ကာတစ်ဦးဖြစ်နိုင်ပြီး ၎င်း၏ပေါ့ဆမှုနှင့် ကွန်ရက်ပေါ်တွင် လုပ်ဆောင်မှုများ တိုးလာခြင်းကြောင့် ပေါ်ပေါက်လာခြင်းဖြစ်သည်။ ဒုတိယရွေးချယ်မှုမှာ သံသယကို လွှဲဖယ်ရန်အတွက် အဖွဲ့၏အခြားအဖွဲ့ဝင်များက သူ့ကို တမင်တကာ “ဖော်ထုတ်” ခဲ့ခြင်း ဖြစ်သည်။ မည်သို့ပင်ဆိုစေ၊ Group-IB သည် ၎င်း၏သုတေသနကို ဆက်လက်လုပ်ဆောင်နေပြီး ၎င်း၏ရလဒ်များကို ကျိန်းသေအစီရင်ခံမည်ဖြစ်သည်။

အီရန် APT များအတွက်၊ ပေါက်ကြားမှုများနှင့် ပေါက်ကြားမှုများ ဆက်တိုက်ဖြစ်ပွားပြီးနောက်၊ ၎င်းတို့သည် ပြင်းထန်သော “debriefing” ကို ရင်ဆိုင်ရဖွယ်ရှိလိမ့်မည် - ဟက်ကာများသည် ၎င်းတို့၏ကိရိယာများကို အပြင်းအထန်ပြောင်းလဲရန်၊ ၎င်းတို့၏လမ်းကြောင်းများကို ရှင်းလင်းရန်နှင့် ၎င်းတို့၏အဆင့်များတွင် ဖြစ်နိုင်ချေရှိသော “မှဲ့များ” ကို ရှာဖွေရတော့မည်ဖြစ်သည်။ အချိန်ကုန်သွားလိမ့်မည်ဟု ကျွမ်းကျင်သူများက မငြင်းဆိုသော်လည်း ခဏနားပြီးနောက် အီရန် APT တိုက်ခိုက်မှုများ ဆက်လက်ဖြစ်ပွားခဲ့သည်။

source: www.habr.com