Peretas pro-pamaréntah Iran aya dina masalah anu ageung. Sapanjang musim semi, jalma anu teu dipikanyaho nyebarkeun "bocor rusiah" dina Telegram - inpormasi ngeunaan grup APT anu aya hubunganana sareng pamaréntah Iran - MinyakRig и Cai bécék - alat maranéhanana, korban, sambungan. Tapi henteu ngeunaan sadayana. Dina April, spesialis Grup-IB manggihan bocor alamat milis korporasi Turki ASELSAN A.Ş, nu ngahasilkeun radio militér taktis jeung sistem pertahanan éléktronik pikeun angkatan bersenjata Turki. Anastasia Tikhonova, Grup-IB Advanced Ancaman Pamimpin Tim Panalungtikan, jeung Nikita Rostovtsev, analis SMP di Grup-IB, ngajelaskeun kursus serangan ka ASELSAN A.Ş sareng mendakan kamungkinan pamilon Cai bécék.
Iluminasi via Telegram
Bocoran grup APT Iran dimimitian ku kanyataan yén Lab Doukhtegan tangtu Kodeu sumber genep alat APT34 (aka OilRig sareng HelixKitten), ngungkabkeun alamat IP sareng domain anu aub dina operasi, ogé data ngeunaan 66 korban peretas, kalebet Etihad Airways sareng Émirat Nasional Minyak. Lab Doookhtegan ogé bocor data ngeunaan operasi katukang grup sareng inpormasi ngeunaan karyawan Kementrian Inpormasi Iran sareng Kaamanan Nasional anu disangka aya hubunganana sareng operasi grup. OilRig mangrupikeun grup APT anu aya hubunganana sareng Iran anu parantos aya ti saprak 2014 sareng nargétkeun pamaréntahan, organisasi kauangan sareng militér, ogé perusahaan énergi sareng telekomunikasi di Wétan Tengah sareng Cina.
Saatos OilRig kakeunaan, bocor terus - inpormasi ngeunaan kagiatan kelompok pro-nagara sanés ti Iran, MuddyWater, muncul dina darknet sareng Telegram. Nanging, teu sapertos bocor anu munggaran, waktos ieu sanés kode sumber anu diterbitkeun, tapi dumps, kalebet screenshot kode sumber, server kontrol, ogé alamat IP korban hacker anu baheula. Waktos ieu, peretas Green Leakers nyandak tanggung jawab pikeun bocor ngeunaan MuddyWater. Aranjeunna gaduh sababaraha saluran Telegram sareng situs darknet dimana aranjeunna ngiklankeun sareng ngajual data anu aya hubunganana sareng operasi MuddyWater.
Mata-mata cyber ti Wétan Tengah
Cai bécék nyaéta grup anu aktip saprak 2017 di Wétan Tengah. Salaku conto, sakumaha catetan para ahli Grup-IB, ti bulan Pebruari nepi ka April 2019, peretas ngalaksanakeun séri surat phishing anu ditujukeun pikeun pamaréntah, organisasi atikan, kauangan, telekomunikasi sareng perusahaan pertahanan di Turki, Iran, Afghanistan, Irak sareng Azerbaijan.
Anggota grup ngagunakeun backdoor tina ngembangkeun sorangan dumasar kana PowerShell, nu disebut POWERSTATS. Manehna bisa:
- ngumpulkeun data ngeunaan akun lokal jeung domain, sadia server file, alamat IP internal tur éksternal, ngaran jeung arsitéktur OS;
- ngalaksanakeun palaksanaan kode jauh;
- unggah tur ngundeur file via C & C;
- ngadeteksi ayana program debugging dipaké dina analisis file jahat;
- mareuman sistem upami aya program pikeun nganalisa file jahat;
- ngahapus file tina drive lokal;
- nyandak Potret layar;
- mareuman ukuran kaamanan dina produk Microsoft Office.
Dina sababaraha waktos, panyerang ngalakukeun kasalahan sareng panaliti ti ReaQta junun kéngingkeun alamat IP ahir, anu aya di Teheran. Dibikeun targét anu diserang ku grup éta, ogé tujuanana anu aya hubunganana sareng spionase cyber, para ahli ngusulkeun yén grup éta ngagambarkeun kapentingan pamaréntah Iran.
Indikator seranganC&C:
- gladiator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
File:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Türkiye diserang
Dina 10 April 2019, spesialis Grup-IB mendakan bocorna alamat surat perusahaan Turki ASELSAN A.Ş, perusahaan panggedéna dina widang éléktronika militér di Turki. Produkna kalebet radar sareng éléktronika, elektro-optik, avionik, sistem tanpa awak, darat, angkatan laut, senjata sareng sistem pertahanan udara.
Nalungtik salah sahiji conto anyar tina malware POWERSTATS, ahli Grup-IB nangtukeun yén grup MuddyWater panyerang dipaké salaku dokumén bait perjanjian lisénsi antara Koç Savunma, hiji pausahaan ngahasilkeun solusi dina widang informasi jeung téhnologi pertahanan, sarta Tubitak Bilgem. , pusat panalungtikan kaamanan inpormasi sareng téknologi canggih. Anu ngahubungi Koç Savunma nyaéta Tahir Taner Tımış, anu nyekel posisi Manajer Program di Koç Bilgi ve Savunma Teknolojileri A.Ş. ti Séptémber 2013 nepi ka Désémber 2018. Teras anjeunna ngamimitian damel di ASELSAN A.Ş.
Sampel dokumén decoy
Saatos pangguna ngaktifkeun makro jahat, backdoor POWERSTATS diunduh kana komputer korban.
Hatur nuhun kana metadata tina dokumén decoy ieu (MD5: 0638adf8fb4095d60fbef190a759aa9e) panalungtik tiasa mendakan tilu conto tambahan anu ngandung nilai anu sami, kalebet tanggal sareng waktos nyiptakeun, nami pangguna, sareng daptar makro anu aya:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Spésifikasi.doc (5c6148619abb10bb3789dcfb32f759a6)
Screenshot metadata idéntik tina rupa-rupa dokumén decoy
Salah sahiji dokumén kapanggih kalawan ngaran ListOfHackedEmails.doc ngandung daptar 34 alamat surélék milik domain nu @aselsan.com.tr.
Spesialis Grup-IB pariksa alamat email dina bocor anu sayogi umum sareng mendakan yén 28 di antarana dikompromi dina bocor anu dipendakan sateuacana. Mariksa campuran bocor anu sayogi nunjukkeun sakitar 400 login unik anu aya hubunganana sareng domain ieu sareng kecap akses pikeun aranjeunna. Aya kamungkinan yén panyerang ngagunakeun data anu sayogi umum ieu pikeun nyerang ASELSAN A.Ş.
Potret layar tina dokumén ListOfHackedEmails.doc
Potret layar daptar langkung ti 450 pasangan login-sandi anu dideteksi dina bocor umum
Di antara sampel nu kapanggih aya ogé hiji dokumén kalawan judul F35-Spésifikasi.doc, ngarujuk kana jet tempur F-35. Dokumén umpan nyaéta spésifikasi pikeun F-35 multi-peran fighter-bomber, nunjukkeun karakteristik pesawat sareng hargana. Topik dokumen decoy ieu langsung aya hubunganana sareng panolakan AS pikeun nyayogikeun F-35 saatos Turki mésér sistem S-400 sareng ancaman mindahkeun inpormasi ngeunaan F-35 Lightning II ka Rusia.
Sadaya data anu ditampi nunjukkeun yén target utama serangan cyber MuddyWater nyaéta organisasi anu aya di Turki.
Saha Gladiyator_CRK sareng Nima Nikjoo?
Saméméhna, dina Maret 2019, dokumén jahat kapanggih dijieun ku hiji pamaké Windows handapeun nickname Gladiyator_CRK. Dokumén ieu ogé nyebarkeun POWERSTATS backdoor sareng nyambung ka server C&C kalayan nami anu sami gladiator[.]tk.
Ieu mungkin parantos dilakukeun saatos pangguna Nima Nikjoo ngeposkeun dina Twitter dina 14 Maret 2019, nyobian nga-decode kode anu kabur anu aya hubunganana sareng MuddyWater. Dina koméntar kana tweet ieu, panalungtik nyarios yén anjeunna henteu tiasa ngabagi indikator kompromi pikeun malware ieu, sabab inpormasi ieu rahasia. Hanjakalna, tulisanna parantos dihapus, tapi jejakna tetep online:
Nima Nikjoo mangrupikeun anu gaduh profil Gladiyator_CRK dina situs hosting video Iran dideo.ir sareng videoi.ir. Dina situs ieu, anjeunna nunjukkeun eksploitasi PoC pikeun nganonaktipkeun alat antipirus tina sababaraha padagang sareng kotak pasir jalan-jalan. Nima Nikjoo nyerat ngeunaan dirina yén anjeunna mangrupikeun spesialis kaamanan jaringan, ogé insinyur ngabalikeun sareng analis malware anu damel pikeun MTN Irancell, perusahaan telekomunikasi Iran.
Potret layar pidéo anu disimpen dina hasil pamilarian Google:
Teras, dina 19 Maret 2019, pangguna Nima Nikjoo dina jaringan sosial Twitter ngarobih nickname na janten Malware Fighter, sareng ogé ngahapus tulisan sareng koméntar anu aya hubunganana. Profil Gladiyator_CRK dina pidéo hosting dideo.ir ogé dipupus, sapertos anu aya dina YouTube, sareng profilna sorangan dingaranan N Tabrizi. Nanging, ampir sabulan saatosna (16 April 2019), akun Twitter mimiti nganggo nami Nima Nikjoo deui.
Salila pangajaran, spesialis Grup-IB manggihan yén Nima Nikjoo geus disebutkeun dina hubungan jeung kagiatan cybercriminal. Dina Agustus 2014, blog Iran Khabarestan nyebarkeun inpormasi ngeunaan individu anu aya hubunganana sareng grup penjahat cyber Iran Nasr Institute. Hiji panalungtikan FireEye nyatakeun yén Nasr Institute mangrupikeun kontraktor pikeun APT33 sareng ogé kalibet dina serangan DDoS di bank AS antara 2011 sareng 2013 salaku bagian tina kampanye anu disebut Operasi Ababil.
Janten dina blog anu sami, Nima Nikju-Nikjoo disebatkeun, anu nuju ngembangkeun malware pikeun nénjo urang Iran, sareng alamat emailna: gladiator_cracker@yahoo[.]com.
Potret layar data anu dikaitkeun ka penjahat cyber ti Institut Nasr Iran:
Tarjamahan téks anu disorot kana basa Rusia: Nima Nikio - Pamekar Spyware - Surélék:.
Sapertos tiasa katingali tina inpormasi ieu, alamat email pakait sareng alamat anu dianggo dina serangan sareng pangguna Gladiyator_CRK sareng Nima Nikjoo.
Salaku tambahan, artikel 15 Juni 2017 nyatakeun yén Nikjoo rada cuek dina ngeposkeun rujukan ka Pusat Kaamanan Kavosh dina resumena. Dahar yén Kavosh Security Center dirojong ku nagara Iran pikeun ngabiayaan hacker pro-pamaréntah.
Inpormasi ngeunaan perusahaan tempat Nima Nikjoo damel:
Profil LinkedIn pangguna Twitter Nima Nikjoo ngadaptarkeun tempat padamelan kahijina salaku Kavosh Security Center, dimana anjeunna damel ti 2006 dugi ka 2014. Salila karyana, anjeunna diajar rupa-rupa malware, sarta ogé diurus karya sabalikna na obfuscation patali.
Inpormasi ngeunaan perusahaan Nima Nikjoo damel di LinkedIn:
MuddyWater sareng harga diri anu luhur
Panasaran yén grup MuddyWater sacara saksama ngawaskeun sadaya laporan sareng pesen ti para ahli kaamanan inpormasi anu diterbitkeun ngeunaan aranjeunna, bahkan ngahaja ngantunkeun bandéra palsu dina mimitina pikeun ngalungkeun panaliti tina bau. Contona, serangan kahiji maranéhanana misled para ahli ku detecting pamakéan DNS Messenger, nu ilahar pakait sareng grup FIN7. Dina serangan séjén, aranjeunna diselapkeun string Cina kana kode.
Sajaba ti éta, grup mikanyaah ninggalkeun pesen pikeun peneliti. Salaku conto, aranjeunna henteu resep yén Kaspersky Lab nempatkeun MuddyWater dina tempat ka-3 dina rating ancaman pikeun taun éta. Dina waktos anu sami, batur - sigana grup MuddyWater - unggah PoC tina eksploitasi ka YouTube anu nganonaktipkeun antipirus LK. Éta ogé ninggalkeun komentar dina artikel.
Potret layar pidéo dina nganonaktipkeun antipirus Kaspersky Lab sareng koméntar di handap ieu:
Masih hese nyieun kacindekan unambiguous ngeunaan involvement "Nima Nikjoo". Ahli Grup-IB nganggap dua versi. Nima Nikjoo, saleresna, tiasa janten peretas ti grup MuddyWater, anu terang kusabab lalawora sareng ningkat kagiatan dina jaringan. Pilihan kadua nyaéta anjeunna ngahaja "dipapaésan" ku anggota grup sanés pikeun ngalihkeun kacurigaan tina dirina. Dina sagala hal, Group-IB neruskeun panalungtikan sarta pasti bakal ngalaporkeun hasilna.
Sedengkeun pikeun APT Iran, saatos sababaraha bocor sareng bocor, aranjeunna sigana bakal nyanghareupan "debriefing" anu serius - peretas bakal kapaksa sacara serius ngarobih alatna, ngabersihan laguna sareng mendakan kamungkinan "mol" dina jajaranna. Para ahli henteu ngaluarkeun yén aranjeunna bakal nyandak waktosna, tapi saatos istirahat sakedap, serangan APT Iran diteruskeun deui.
sumber: www.habr.com