O loʻo i ai i se faʻalavelave tele le au taʻavale a Iran e lagolagoina le malo. I le tautotogo atoa, na lolomiina e tagata e le o iloa "mea faalilolilo" i luga o Telegram - faʻamatalaga e uiga i vaega APT e fesoʻotaʻi ma le malo o Iran - OilRig и Suava Muddy - latou meafaigaluega, tagata afaina, sootaga. Ae le o tagata uma. Ia Aperila, na maua ai e le au faʻapitoa a le Vaega-IB se leo o tuatusi meli a le kamupani Turkish ASELSAN A.Ş, lea e gaosia ai leitio faʻafitafita ma faiga faʻaeletoroni mo le au faʻaauupega a Turki. Anastasia Tikhonova, Group-IB Advanced Threat Research Team Leader, ma Nikita Rostovtsev, tagata suʻesuʻe laiti i le Group-IB, na faʻamatalaina le ala o le osofaʻiga i ASELSAN A.Ş ma maua ai se sui auai. Suava Muddy.
Fa'amalamalamaga e ala ile Telegram
O le liki o vaega Iranian APT na amata i le mea moni o se tasi Lab Doukhtegan o faʻamaumauga autu o meafaigaluega APT34 ono (aka OilRig ma HelixKitten), na faʻaalia ai tuatusi IP ma vaega o loʻo aʻafia i gaioiga, faʻapea foʻi ma faʻamaumauga i luga o 66 tagata na afaina i tagata taʻavale, e aofia ai Etihad Airways ma Emirates National Oil. Na faʻasalalau foi e Lab Doookhtegan faʻamatalaga e uiga i galuega a le vaega ua mavae ma faʻamatalaga e uiga i tagata faigaluega o le Iranian Ministry of Information and National Security o loʻo tuʻuaʻia e fesoʻotaʻi ma gaioiga a le vaega. O le OilRig o se vaega APT e fesoʻotaʻi ma Iran lea na i ai talu mai le 2014 ma faʻatatau i faʻalapotopotoga a le malo, tupe ma militeri, faʻapea foʻi ma kamupani malosi ma fesoʻotaʻiga i Sasaʻe Tutotonu ma Saina.
Ina ua uma ona faʻaalia OilRig, na faʻaauau pea le vaʻaia - faʻamatalaga e uiga i gaioiga a se isi vaega lagolago mai Iran, MuddyWater, na faʻaalia i luga o le upega pogisa ma luga o Telegram. Ae ui i lea, e le pei o le liki muamua, o le taimi lea e le o faʻamatalaga punaʻoa na faʻasalalau, ae lafoaʻi, e aofia ai faʻamalama o tulafono faʻapogai, pulea servers, faʻapea foʻi ma tuatusi IP o tagata na afaina i tagata taʻavale. O le taimi lea, na ave ai e le au taʻavale Green Leakers le matafaioi mo le liki e uiga ia MuddyWater. Latou te umia le tele o ala Telegram ma nofoaga pogisa lea latou te faʻasalalau ma faʻatau atu faʻamatalaga e fesoʻotaʻi ma MuddyWater gaioiga.
Sipai Cyber mai Sasaʻe Tutotonu
Suava Muddy o se vaega ua toaga talu mai le 2017 i Sasaʻe Tutotonu. Mo se faʻataʻitaʻiga, e pei ona matauina e le au atamamai o le Group-IB, mai ia Fepuari ia Aperila 2019, na faia ai e tagata taʻavale se faasologa o meli faʻasalalau e faʻatatau i le malo, faʻalapotopotoga aʻoaʻoga, tupe, fesoʻotaʻiga ma kamupani puipuiga i Turkey, Iran, Afghanistan, Iraq ma Azerbaijan.
E fa'aogaina e sui o le vaega se pito i tua o latou lava atina'e fa'avae i le PowerShell, lea e ta'ua POWERSTATS. E mafai ona ia:
- aoina faʻamatalaga e uiga i faʻamatalaga faʻapitonuʻu ma faʻalapotopotoga, faila faila avanoa, tuatusi IP i totonu ma fafo, igoa ma le fausaga OS;
- fa'atinoina le fa'atinoina o code mamao;
- la'u ma la'u mai faila e ala ile C&F;
- iloa le i ai o le faʻaogaina o polokalame faʻaaogaina i le auiliiliga o faila leaga;
- tapuni le faiga pe a maua polokalame mo le suʻeina o faila leaga;
- tape faila mai ta'avale fa'apitonu'u;
- ave screenshots;
- fa'agata le puipuiga o mea i oloa a le Microsoft Office.
I se taimi, na faia e le au osofaʻi se mea sese ma na mafai e le au suʻesuʻe mai ReaQta ona maua le tuatusi IP mulimuli, lea sa i Tehran. I le tuʻuina atu o sini na osofaʻia e le vaega, faʻapea foʻi ma ana sini e fesoʻotaʻi ma le cyber spionage, ua fautuaina e le au atamamai o le vaega e fai ma sui o le malo o Iran.
Faailoga o osofaigaF&F:
- ta'ita'i [.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Faila:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Türkiye i lalo o osofaiga
I le aso 10 o Aperila, 2019, na maua ai e le au faʻapitoa a le Vaega-IB se liki o tuatusi meli a le kamupani Turkish ASELSAN A.Ş, o le kamupani tele i le vaega o mea tau eletise i Turkey. O ana oloa e aofia ai radar ma mea tau eletise, electro-optics, avionics, faiga e le faʻaaogaina, fanua, vaʻa, auupega ma le puipuiga o le ea.
I le suʻesuʻeina o se tasi o faʻataʻitaʻiga fou o le POWERSTATS malware, na faʻamaonia ai e le au atamamai o le Group-IB o le vaega o le MuddyWater o tagata osofaʻi na faʻaaogaina e avea o se maunu pepa o se maliega laisene i le va o Koç Savunma, o se kamupani o loʻo gaosia fofo i le tulaga o faʻamatalaga ma tekinolosi puipuiga, ma Tubitak Bilgem. , o se nofoaga autu o su'esu'ega mo le puipuiga o fa'amatalaga ma tekonolosi fa'alautele. O le tagata fa'afeso'ota'i mo Koç Savunma o Tahir Taner Tımış, o le sa umia le tulaga o le Polokalama Pule i Koç Bilgi ve Savunma Teknolojileri A.Ş. mai ia Setema 2013 ia Tesema 2018. Mulimuli ane na amata galue i ASELSAN A.Ş.
Fa'ata'ita'i pepa fa'a'ole'ole
A maeʻa ona faʻagaoioia e le tagata faʻaoga macros leaga, o le POWERSTATS backdoor e sii mai i le komepiuta a le tagata manua.
Fa'afetai i metadata o lenei pepa fa'asese (MD5: 0638adf8fb4095d60fbef190a759aa9e) na mafai e tagata suʻesuʻe ona maua ni faʻataʻitaʻiga faaopoopo e tolu o loʻo i ai tulaga tutusa, e aofia ai le aso ma le taimi na faia ai, igoa ole igoa, ma se lisi o macros o loʻo i ai:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Ata o metadata tutusa o pepa taufaasese eseese
O se tasi o pepa na maua ma le igoa ListOfHackedEmails.doc o lo'o i ai se lisi o tuatusi imeli e 34 o lo'o iai i le vaega @aselsan.com.tr.
Na siakiina e le au faʻapitoa a le Group-IB tuatusi imeli i faʻasalalauga avanoa lautele ma maua ai o le 28 oi latou na faʻafefeteina i le maua muamua. O le siakiina o le faʻafefiloi o avanoa avanoa na faʻaalia ai le 400 faʻailoga tulaga ese e fesoʻotaʻi ma lenei vaega ma upu faʻaulu mo latou. E ono mafai e tagata osofaʻi na faʻaogaina nei faʻamatalaga avanoa lautele e osofaʻia ASELSAN A.Ş.
Ata o le pepa ListOfHackedEmails.doc
Ata o se lisi o le sili atu i le 450 na maua le saini-password paiga i le lautele lautele
I totonu o fa'ata'ita'iga na maua sa i ai fo'i se pepa o lo'o iai le igoa F35-Specifications.doc, e faasino i le F-35 vaalele tau. O le pepa maunu o se faʻamatalaga mo le F-35 multi-role fighter-bomber, e faʻaalia ai uiga o le vaalele ma le tau. O le autu o lenei pepa taufaaleaga e fesoʻotaʻi saʻo i le US mumusu e tuʻuina atu F-35s ina ua maeʻa le faʻatau e Turkey o le S-400 ma le taufaamatau o le tuʻuina atu o faʻamatalaga e uiga i le F-35 Lightning II i Rusia.
O faʻamaumauga uma na maua na faʻaalia ai o le autu autu o osofaʻiga i luga ole laiga MuddyWater o faʻalapotopotoga o loʻo i Turkey.
O ai Gladiyator_CRK ma Nima Nikjoo?
I le taimi muamua, ia Mati 2019, na maua ai ni pepa leaga na faia e se tasi tagata Windows i lalo ole igoa ole igoa Gladiyator_CRK. O nei pepa na tufatufaina atu foi le POWERSTATS backdoor ma fesoʻotaʻi i se C&C server e tutusa igoa ta'ita'i [.]tk.
Atonu na faia lenei mea ina ua uma ona faʻasalalau e le tagata faʻaoga Nima Nikjoo i luga o le Twitter i le aso 14 o Mati, 2019, taumafai e faʻavasega le faʻailoga faʻailoga e fesoʻotaʻi ma MuddyWater. I faʻamatalaga i lenei tweet, na fai mai le tagata suʻesuʻe e le mafai ona ia faʻasoa faʻailoga o le fetuutuunai mo lenei malware, ona o lenei faʻamatalaga e le faalauaiteleina. Ae paga lea, ua uma ona tape le pou, ae o loʻo tumau pea i luga ole laiga:
O Nima Nikjoo o le pule o le Gladiyator_CRK faʻamatalaga i luga o le Iranian video hosting sites dideo.ir ma videoi.ir. I luga o lenei 'upega tafaʻilagi, na te faʻaalia ai le faʻaogaina o le PoC e faʻamalo ai meafaigaluega antivirus mai faʻatau eseese ma faʻafefe sandboxes. Na tusia e Nima Nikjoo e uiga ia te ia lava o ia o se tagata tomai faapitoa mo le puipuiga o fesoʻotaʻiga, faʻapea foʻi ma se faʻainisinia faʻasolosolo ma tagata suʻesuʻe mea leaga o loʻo galue mo MTN Irancell, o se kamupani telefoni a Iran.
Ata o vitiō fa'asaoina ile su'esu'ega a Google:
Mulimuli ane, i le aso 19 o Mati, 2019, na suia ai e le tagata faʻaoga Nima Nikjoo i luga o le upega tafaʻilagi Twitter lona igoa tauvalaau i le Malware Fighter, ma faʻapena foi ona tape pou ma faʻamatalaga. O le talaaga o Gladiyator_CRK i luga o le vitio hosting dideo.ir na tapeina foi, e pei o le tulaga i luga o YouTube, ma o le talaaga lava ia na toe faaigoa N Tabrizi. Ae ui i lea, toeitiiti atoa le masina mulimuli ane (Aperila 16, 2019), na toe faʻaaogaina e le Twitter tala le igoa Nima Nikjoo.
I le taimi o le suʻesuʻega, na iloa ai e le au faʻapitoa a le Vaega-IB o Nima Nikjoo ua uma ona taʻua i le fesoʻotaʻiga ma gaioiga tau initaneti. I le masina o Aukuso 2014, na lomia ai e le Iran Khabarestan blog faʻamatalaga e uiga i tagata taʻitoʻatasi e fesoʻotaʻi ma le cybercriminal group Iranian Nasr Institute. O se tasi o suʻesuʻega a le FireEye na taʻua ai o le Nasr Institute o se konekarate mo le APT33 ma sa auai foʻi i osofaʻiga a DDoS i faletupe a Amerika i le va o le 2011 ma le 2013 o se vaega o le faʻasalalauga e taʻua o le Operation Ababil.
O lea i totonu o le blog lava e tasi, na taʻua ai Nima Nikju-Nikjoo, o loʻo faʻatupuina le malware e sipai ai Iranians, ma lana tuatusi imeli: gladiator_cracker@yahoo[.]com.
Ata o faʻamatalaga e faʻatatau i tagata solitulafono i luga ole laiga mai le Iranian Nasr Institute:
Fa'aliliuga o tusitusiga fa'ailoga i le gagana Rusia: Nima Nikio - Spyware Developer - Email:.
E pei ona mafai ona vaʻaia mai lenei faʻamatalaga, o le tuatusi imeli e fesoʻotaʻi ma le tuatusi na faʻaaogaina i osofaiga ma tagata faʻaoga Gladiyator_CRK ma Nima Nikjoo.
E le gata i lea, o le tala ia Iuni 15, 2017 na taʻua ai o Nikjoo sa fai si faʻatamala i le lafoina o faʻamatalaga i Kavosh Security Center i lana resume. 'A'ai o le Kavosh Security Center o loʻo lagolagoina e le setete o Iran e faʻatupeina tagata taʻavale lagolago-malo.
Fa'amatalaga e uiga i le kamupani sa faigaluega ai Nima Nikjoo:
O le fa'amatalaga LinkedIn a le tagata fa'aoga Twitter Nima Nikjoo o lo'o lisiina ai lona nofoaga muamua o galuega o le Kavosh Security Center, lea na ia galue ai mai le 2006 i le 2014. I le taimi o lana galuega, sa ia suʻesuʻeina le tele o malware, ma faʻatautaia foi galuega faʻafeagai ma faʻalavelave.
Fa'amatalaga e uiga i le kamupani na galue ai Nima Nikjoo i LinkedIn:
MuddyWater ma le maualuga o le tagata lava ia
E fia iloa o le MuddyWater vaega e mataʻituina ma le totoʻa lipoti uma ma feʻau mai faʻamatalaga faʻamatalaga faʻapitoa faʻasalalau faʻasalalau e uiga ia i latou, ma e oʻo lava i le tuʻuina ma le loto i ai o fuʻa sese i le taimi muamua ina ia lafo ai tagata suʻesuʻe mai le manogi. Mo se faʻataʻitaʻiga, o latou osofaʻiga muamua na faʻasesēina tagata atamamai e ala i le mauaina o le faʻaogaina o le DNS Messenger, lea e masani ona fesoʻotaʻi ma le vaega FIN7. I isi osofaʻiga, na latou faʻaofiina manoa Saina i totonu o le code.
E le gata i lea, e fiafia le vaega e tuʻu savali mo tagata suʻesuʻe. Mo se faʻataʻitaʻiga, latou te le fiafia i le Kaspersky Lab na tuʻuina le MuddyWater i le tulaga 3 i lona faʻailoga taufaʻatau mo le tausaga. I le taimi lava e tasi, o se tasi - masalo o le MuddyWater vaega - na tuʻuina atu se PoC o se faʻaogaina i YouTube e faʻagata ai le LK antivirus. Na latou tuua foi se faamatalaga i lalo o le tusiga.
Ata o le vitio i luga o le tapeina o Kaspersky Lab antivirus ma le faʻamatalaga o loʻo i lalo:
E faigata lava ona faia se faaiuga manino e uiga i le auai o "Nima Nikjoo". O loʻo iloiloina e le au faʻapitoa vaega-IB ni faʻaaliga se lua. O Nima Nikjoo, ioe, atonu o se tagata taʻavale mai le vaega MuddyWater, o le na oʻo mai i le malamalama ona o lona faʻatamala ma faʻateleina gaioiga i luga o le upega tafailagi. O le filifiliga lona lua o le "faʻaalia" ma le loto i ai o ia e isi tagata o le vaega ina ia faʻafefe ai masalosaloga mai ia i latou lava. I soo se tulaga, o le Group-IB o loʻo faʻaauau ana suʻesuʻega ma o le a mautinoa lava le lipotia o ana taunuuga.
Ae mo Iranian APTs, pe a maeʻa se faasologa o liki ma liki, atonu o le a latou feagai ma se "faʻamatalaga" ogaoga - o le a faʻamalosia tagata taʻavale e matua suia a latou mea faigaluega, faʻamama o latou ala ma suʻe ni "moles" i totonu o latou tulaga. E leʻi faʻateʻaina e le au atamamai o le a latou faʻaalu se taimi, ae ina ua maeʻa sina malologa puupuu, na toe faʻaauau pea osofaʻiga a Iran APT.
puna: www.habr.com