Basomi ba Iran ba tšehetsang 'muso ba mathateng a maholo. Ho pholletsa le selemo, batho ba sa tsejoeng ba ile ba hatisa "ho lutla ha lekunutu" ho Telegraph - tlhahisoleseling mabapi le lihlopha tsa APT tse amanang le mmuso oa Iran - OilRig и MuddyMetsi - lisebelisoa tsa bona, bahlaseluoa, likhokahano. Empa eseng ka batho bohle. Ka Mphalane, litsebi tsa Group-IB li ile tsa sibolla ho lutla ha liaterese tsa poso tsa mokhatlo oa Turkey oa ASELSAN A.Ş, o hlahisang liea-le-moea tse bohlale tsa sesole le lits'ireletso tsa elektroniki bakeng sa mabotho a hlometseng a Turkey. Anastasia Tikhonova, Sehlopha sa IB Moetapele oa Sehlopha sa Lipatlisiso tsa Tšokelo e Tsoetseng Pele, le Nikita Rostovtsev, mohlahlobisisi e monyenyane ho Group-IB, o hlalositse tsela ea tlhaselo ea ASELSAN A.Ş 'me a fumana motho ea ka nkang karolo. MuddyMetsi.
Ho khantša ka Telegram
Ho lutla ha lihlopha tsa Iranian APT ho qalile ka taba ea hore Lab Doukhtegan e itseng mehloli ea mehloli ea lisebelisoa tse tšeletseng tsa APT34 (aka OilRig le HelixKitten), e senotse liaterese tsa IP le libaka tse amehang ts'ebetsong, hammoho le lintlha tse mabapi le bahlaseluoa ba 66 ba bahlaseli, ho akarelletsa le Etihad Airways le Emirates National Oil. Lab Doookhtegan e boetse e hlahisitse lintlha tse mabapi le ts'ebetso ea sehlopha sa nakong e fetileng le tlhahisoleseling mabapi le basebetsi ba Lekala la Litaba tsa Iran le Ts'ireletso ea Naha bao ho thoeng ba amahanngoa le ts'ebetso ea sehlopha. OilRig ke sehlopha sa APT se amanang le Iran se bileng teng ho tloha hoo e ka bang ka 2014 mme se shebane le 'muso, mekhatlo ea lichelete le ea sesole, hammoho le lik'hamphani tsa matla le tsa mehala tsa Middle East le Chaena.
Kamora hore OilRig e hlahisoe, ho lutla ho ile ha tsoela pele - tlhahisoleseling mabapi le mesebetsi ea sehlopha se seng sa pro-state se tsoang Iran, MuddyWater, e ile ea hlaha ho darknet le ho Telegram. Leha ho le joalo, ho fapana le ho lutla ha pele, lekhetlong lena e ne e se likhoutu tsa mohloli tse hatisitsoeng, empa ho lahla, ho kenyelletsa le li-screenshots tsa li-code tsa mohloli, li-server tsa taolo, hammoho le liaterese tsa IP tsa bahlaseluoa ba nakong e fetileng. Lekhetlong lena, linokoane tsa Green Leakers li nkile boikarabello bakeng sa ho lutla ha MuddyWater. Ba na le liteishene tse 'maloa tsa Telegraph le libaka tsa darknet moo ba bapatsang le ho rekisa data e amanang le ts'ebetso ea MuddyWater.
Lihloela tsa Cyber tse tsoang Middle East
MuddyMetsi ke sehlopha se 'nileng sa sebetsa ho tloha 2017 Middle East. Mohlala, joalo ka ha litsebi tsa Group-IB li hlokomela, ho tloha ka Hlakola ho isa ho Mmesa 2019, linokoane li ile tsa etsa letoto la mangolo a phishing a reretsoeng mmuso, mekhatlo ea thuto, lichelete, likhokahano tsa mehala le lik'hamphani tsa ts'ireletso Turkey, Iran, Afghanistan, Iraq le Azerbaijan.
Litho tsa sehlopha li sebelisa mokokotlo oa nts'etsopele ea bona e thehiloeng ho PowerShell, e bitsoang POWERSTATS. A ka:
- bokella lintlha tse mabapi le li-account tsa lehae le tsa domain, li-server tse fumanehang tsa faele, liaterese tsa IP tsa kahare le kantle, lebitso le meralo ea OS;
- etsa ts'ebetso ea khoutu e hole;
- kenya le ho jarolla lifaele ka C&C;
- lemoha boteng ba mananeo a ho lokisa liphoso a sebelisoang ho hlahloba lifaele tse kotsi;
- koala sistimi haeba ho fumanoa mananeo a ho sekaseka lifaele tse mpe;
- hlakola lifaele ho li-drive tsa lehae;
- nka linepe tsa skrini;
- tima mehato ea ts'ireletso lihlahisoa tsa Microsoft Office.
Ka nako e 'ngoe, bahlaseli ba ile ba etsa phoso' me bafuputsi ba ReaQta ba khona ho fumana aterese ea ho qetela ea IP, e neng e le Tehran. Ka lebaka la lipheo tse hlasetsoeng ke sehlopha, hammoho le lipakane tsa sona tse amanang le cyber espionage, litsebi li bontšitse hore sehlopha se emela lithahasello tsa 'muso oa Iran.
Lipontšo tsa tlhaseloC&C:
- gladiator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Lifaele:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Türkiye tlas'a tlhaselo
Ka la 10 Mmesa, 2019, litsebi tsa Group-IB li ile tsa sibolla ho lutla ha liaterese tsa poso tsa k'hamphani ea Turkey ea ASELSAN A.Ş, k'hamphani e kholo ka ho fetisisa lefapheng la lisebelisoa tsa elektroniki tsa sesole Turkey. Lihlahisoa tsa eona li kenyelletsa radar le lisebelisoa tsa elektronike, li-electro-optics, avionics, litsamaiso tse se nang motho, mobu, sesole sa metsing, libetsa le mekhoa ea tšireletso ea moea.
Ho ithuta ka e 'ngoe ea mehlala e mecha ea malware a POWERSTATS, litsebi tsa Group-IB li ile tsa etsa qeto ea hore sehlopha sa MuddyWater sa bahlaseli se sebelisitsoe e le tokomane ea bait tumellano ea laesense pakeng tsa Koç Savunma, k'hamphani e hlahisang tharollo lefapheng la tlhahisoleseling le mahlale a ts'ireletso, le Tubitak Bilgem. , setsi sa lipatlisiso tsa tšireletso ea tlhahisoleseding le theknoloji e tsoetseng pele. Motho ea ikopanyang le Koç Savunma e ne e le Tahir Taner Tımış, ea neng a tšoere boemo ba Mananeo a Koç Bilgi ve Savunma Teknolojileri A.Ş. ho tloha ka Loetse 2013 ho fihlela ka Tšitoe 2018. Hamorao o ile a qala ho sebetsa ASELSAN A.Ş.
Mohlala oa tokomane ea decoy
Kamora hore mosebelisi a kenye li-macros tse mpe, ntlo e ka morao ea POWERSTATS e jarolleloa komporong ea motho ea hlasetsoeng.
Ka lebaka la metadata ea tokomane ena ea decoy (MD5: 0638adf8fb4095d60fbef190a759aa9e) bafuputsi ba khonne ho fumana lisampole tse ling tse tharo tse nang le boleng bo ts'oanang, ho kenyeletsoa letsatsi le nako ea popo, lebitso la mosebelisi le lethathamo la li-macros tse fumanehang:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Setšoantšo sa skrini sa metadata e ts'oanang ea litokomane tse fapaneng tsa decoy
E 'ngoe ea litokomane tse sibolotsoeng tse nang le lebitso ListOfHackedEmails.doc e na le lethathamo la liaterese tsa imeile tse 34 tsa sebaka seo @aselsan.com.tr.
Litsebi tsa Group-IB li ile tsa lekola liaterese tsa lengolo-tsoibila ho lutla tse fumanehang phatlalatsa mme tsa fumana hore tse 28 tsa tsona li ne li senyehile ho lutla tse sibolotsoeng pele. Ho hlahloba motsoako oa ho lutla ho bonts'itseng li-logins tse ikhethileng tse 400 tse amanang le sebaka sena le li-password bakeng sa bona. Ho ka etsahala hore bahlaseli ba sebelisitse lintlha tsena tse fumanehang phatlalatsa ho hlasela ASELSAN A.Ş.
Setšoantšo sa skrini sa tokomane ListOfHackedEmails.doc
Setšoantšo sa skrini sa lenane la lipara tse fetang 450 tse fumanoeng tsa ho kena ha batho ba lutla.
Har'a mehlala e fumanoeng ho ne ho boetse ho e-na le tokomane e nang le sehlooho F35-Specifications.doc, e buang ka sefofane sa ntoa sa F-35. Tokomane ea bait ke tlhaloso bakeng sa sefofane sa lifofane sa F-35 se nang le likarolo tse ngata, se bontšang litšobotsi le theko ea sefofane. Sehlooho sa tokomane ena ea decoy e amana ka ho toba le ho hana ha US ho fana ka F-35 ka mor'a hore Turkey e reke lisebelisoa tsa S-400 le tšoso ea ho fetisetsa tlhahisoleseding e mabapi le F-35 Lightning II ho ea Russia.
Lintlha tsohle tse fumanoeng li bonts'itse hore sepheo sa mantlha sa tlhaselo ea cyber ea MuddyWater e ne e le mekhatlo e teng Turkey.
Gladiyator_CRK le Nima Nikjoo ke bo-mang?
Pejana, ka Hlakubele 2019, ho ile ha sibolloa litokomane tse mpe tse entsoeng ke mosebelisi a le mong oa Windows tlasa lebitso la bosoasoi la Gladiyator_CRK. Litokomane tsena li boetse li abile POWERSTATS backdoor mme li hokahane le seva sa C&C se nang le lebitso le ts'oanang gladiator[.]tk.
Sena se kanna sa etsoa kamora hore mosebelisi Nima Nikjoo a phatlalatse ho Twitter ka la 14 Hlakubele 2019, a leka ho khetholla khoutu e makatsang e amanang le MuddyWater. Litlhalosong tsa tweet ena, mofuputsi o itse a ke ke a arolelana matšoao a ho sekisetsa malware ana, kaha tlhahisoleseling ena ke lekunutu. Ka bomalimabe, poso e se e hlakotsoe, empa mesaletsa ea eona e ntse e le inthaneteng:
Nima Nikjoo ke mong'a profil ea Gladiyator_CRK libakeng tsa Irani tse tsamaisang livideo tsa dideo.ir le videoi.ir. Sebakeng sena, o bonts'a liketso tsa PoC ho tima lisebelisoa tsa antivirus ho tsoa ho barekisi ba fapaneng le mabokose a lehlabathe a fetang. Nima Nikjoo o ngola ka eena hore ke setsebi sa ts'ireletso ea marang-rang, hape ke moenjiniere oa morao-rao le mohlahlobi oa malware ea sebeletsang MTN Irancell, k'hamphani ea mehala ea Iranian.
Sets'oants'o sa livideo tse bolokiloeng liphethong tsa lipatlisiso tsa Google:
Hamorao, ka la 19 Hlakubele 2019, mosebelisi Nima Nikjoo sebakeng sa marang-rang sa marang-rang sa Twitter o ile a fetola lebitso la hae la bosoasoi hore e be Malware Fighter, hape a hlakola li-post le maikutlo a amanang. Boemo ba Gladiyator_CRK ho video e tsamaisang dideo.ir le bona bo ile ba hlakoloa, joalo ka ha ho bile joalo ho YouTube, mme profil ka boeona e ile ea rehoa N Tabrizi. Leha ho le joalo, hoo e ka bang khoeli hamorao (la 16 Mmesa, 2019), ak'haonte ea Twitter e ile ea qala ho sebelisa lebitso la Nima Nikjoo hape.
Nakong ea boithuto, litsebi tsa Group-IB li fumane hore Nima Nikjoo o ne a se a boletsoe mabapi le liketso tsa botlokotsebe ba marang-rang. Ka Phato 2014, blog ea Iran Khabarestan e phatlalalitse tlhahisoleseling mabapi le batho ba amanang le sehlopha sa botlokotsebe ba marang-rang sa Iranian Nasr Institute. Patlisiso e 'ngoe ea FireEye e boletse hore Nasr Institute e ne e le rakonteraka bakeng sa APT33 hape e kentse letsoho litlhaselong tsa DDoS libankeng tsa US lipakeng tsa 2011 le 2013 e le karolo ea letšolo le bitsoang Operation Ababil.
Kahoo ho blog e tšoanang, ho boletsoe Nima Nikju-Nikjoo, ea neng a ntse a hlahisa malware ho hloela batho ba Iran, le aterese ea hae ea lengolo-tsoibila: gladiyator_cracker@yahoo[.]com.
Setšoantšo sa data se hlahisoang ke linokoane tsa marang-rang tse tsoang Setsing sa Nasr sa Iran:
Phetolelo ea mongolo o hlakisitsoeng ho Serussia: Nima Nikio - Moqapi oa Spyware - Email:.
Joalokaha ho ka bonoa tlhahisoleseling ena, aterese ea lengolo-tsoibila e amahanngoa le aterese e sebelisitsoeng litlhaselong le basebelisi ba Gladiyator_CRK le Nima Nikjoo.
Ntle le moo, sengoloa sa la 15 Phuptjane 2017 se boletse hore Nikjoo o ne a batla a sa tsotelle ha a beha litšupiso ho Kavosh Security Center ha a qala hape. Ja hore Setsi sa Ts'ireletso sa Kavosh se tšehetsoa ke naha ea Iran ho tšehetsa basomi ba tšehetsang 'muso ka lichelete.
Lintlha mabapi le k'hamphani eo Nima Nikjoo a neng a sebetsa ho eona:
Mosebelisi oa Twitter Boemo ba LinkedIn ba Nima Nikjoo bo thathamisa sebaka sa hae sa pele sa mosebetsi e le Kavosh Security Center, moo a sebelitseng ho tloha 2006 ho isa 2014. Nakong ea mosebetsi oa hae, o ile a ithuta mefuta e fapaneng ea malware, hape a sebetsana le mosebetsi o amanang le reverse le obfuscation.
Lintlha mabapi le k'hamphani eo Nima Nikjoo a e sebelelitseng ho LinkedIn:
MuddyWater le boitlhompho bo phahameng
Hoa makatsa hore ebe sehlopha sa MuddyWater se shebella ka hloko litlaleho tsohle le melaetsa e tsoang ho litsebi tsa ts'ireletso ea tlhahisoleseding e hatisitsoeng ka bona, esita le ka boomo ba tlohela lifolakha tsa bohata qalong e le hore ba lahlele bafuputsi ho tsoa monko. Ka mohlala, litlhaselo tsa bona tsa pele li ile tsa khelosa litsebi ka ho lemoha tšebeliso ea DNS Messenger, e neng e atisa ho amahanngoa le sehlopha sa FIN7. Litlhaselong tse ling, ba kentse likhoele tsa Sechaena khoutu.
Ho feta moo, sehlopha se rata ho siea melaetsa ho bafuputsi. Ka mohlala, ba ne ba sa rate hore Kaspersky Lab e behile MuddyWater sebakeng sa 3rd boemong ba eona ba tšokelo bakeng sa selemo. Ka nako e ts'oanang, motho - mohlomong sehlopha sa MuddyWater - o kentse PoC ea tlatlapo ho YouTube e thibelang antivirus ea LK. Ba boetse ba siea maikutlo tlas'a sehlooho.
Lits'oants'o tsa video mabapi le ho thibela antivirus ea Kaspersky Lab le litlhaloso tse ka tlase:
Ho ntse ho le thata ho etsa qeto e hlakileng mabapi le ho kenya letsoho ha "Nima Nikjoo". Litsebi tsa sehlopha-IB li nahana ka mefuta e 'meli. Nima Nikjoo, e ka 'na ea e-ba senokoane sa sehlopha sa MuddyWater, ea ileng a hlaha ka lebaka la ho se tsotelle le ho eketseha ha mosebetsi oa marang-rang. Khetho ea bobeli ke hore o ile a “pepesoa” ka boomo ke litho tse ling tsa sehlopha e le ho tlosa lipelaelo ho bona. Leha ho le joalo, Group-IB e tsoela pele ka lipatlisiso tsa eona 'me e tla tlaleha liphetho tsa eona.
Ha e le li-APT tsa Iran, ka mor'a letoto la ho lutla le ho lutla, mohlomong ba tla tobana le "debriefing" e tebileng - basomi ba tla qobelloa ho fetola lisebelisoa tsa bona ka botebo, ho hloekisa litsela tsa bona le ho fumana "moles" tse ka khonehang maemong a bona. Litsebi ha lia ka tsa bolela hore li tla nka nako, empa ka mor'a khefu e khutšoanyane, litlhaselo tsa Iranian APT li ile tsa tsoela pele hape.
Source: www.habr.com