Muddy Waters: ווי כאַקערז פון MuddyWater אַטאַקירט אַ טערקיש פאַבריקאַנט פון מיליטעריש עלעקטראָניק

יראַניאַן פּראָ-רעגירונג כאַקערז זענען אין גרויס קאָנפליקט. איבער דעם פרילינג, אומבאַקאַנט מענטשן ארויס "געהיים ליקס" אויף טעלעגראַם - אינפֿאָרמאַציע וועגן APT גרופּעס פֿאַרבונדן מיט די יראַניאַן רעגירונג - אָילריג и MuddyWater — זייערע געצייג, קרבנות, פארבינדונגען. אָבער ניט וועגן אַלעמען. אין אפריל, גרופע-IB ספּעשאַלאַסץ דיסקאַווערד אַ רינען פון מיילינג אַדרעסעס פון די טערקיש קאָרפּאָראַציע ASELSAN A.Ş, וואָס טראגט טאַקטיש מיליטעריש ראַדיאָס און עלעקטראָניש פאַרטיידיקונג סיסטעמען פֿאַר די טערקיש אַרמד פאָרסעס. אַנאַסטאַסיאַ טיכאָנאָוואַ, Group-IB Advanced Threat Research Team Leader, און ניקיטאַ ראָסטאָווצעוו, יינגער אַנאַליסט אין Group-IB, דיסקרייבד די לויף פון די באַפאַלן אויף ASELSAN A.Ş און געפֿונען אַ מעגלעך באַטייליקטער MuddyWater.

ילומאַניישאַן דורך טעלעגראַם

די רינען פון יראַניאַן אַפּט גרופּעס אנגעהויבן מיט די פאַקט אַז אַ זיכער לאַב דאָוקטעגאַן געמאכט ציבור די מקור קאָודז פון זעקס APT34 מכשירים (aka OilRig און HelixKitten), אנטפלעקט די IP אַדרעסעס און דאָומיינז ינוואַלווד אין די אַפּעריישאַנז, ווי געזונט ווי דאַטן אויף 66 וויקטימס פון כאַקערז, אַרייַנגערעכנט Etihad Airways און Emirates National Oil. לאַב דאָאָאָכטעגאַן אויך ליקט דאַטן וועגן די גרופּע 'ס פאַרגאַנגענהייט אַפּעריישאַנז און אינפֿאָרמאַציע וועגן עמפּלוייז פון די יראַניאַן מיניסטעריום פון אינפֿאָרמאַציע און נאַשאַנאַל סעקוריטי וואָס זענען אַלעדזשאַדלי פארבונדן מיט די גרופּע ס אַפּעריישאַנז. OilRig איז אַן יראַן-לינגקט APT גרופּע וואָס האט עקסיסטירט זינט אַרום 2014 און טאַרגאַץ רעגירונג, פינאַנציעל און מיליטעריש אָרגאַנאַזיישאַנז, ווי געזונט ווי ענערגיע און טעלאַקאַמיונאַקיישאַנז קאָמפּאַניעס אין די מיטל מזרח און טשיינאַ.

נאכדעם וואס OilRig איז אנטפלעקט געווארן, האבן די ליקס געצויגן - אינפארמאציע איבער די אקטיוויטעטן פון אן אנדער פרא-סטעיט גרופע פון ​​איראן, MuddyWater, האט זיך באוויזן אויף דער פינצטערנעט און אויף טעלעגראם. אָבער, ניט ענלעך דער ערשטער רינען, דאָס מאָל עס איז געווען ניט די מקור קאָודז וואָס זענען ארויס, אָבער דאַמפּס, אַרייַנגערעכנט סקרעענשאָץ פון מקור קאָודז, קאָנטראָל סערווערס, ווי געזונט ווי די IP אַדרעסעס פון פאַרגאַנגענהייט וויקטימס פון כאַקערז. דאָס מאָל, גרין לעאַקערס כאַקערז גענומען פֿאַראַנטוואָרטלעכקייט פֿאַר די רינען וועגן MuddyWater. זיי פאַרמאָגן עטלעכע טעלעגראַם טשאַנאַלז און דאַרקנעט זייטלעך ווו זיי מעלדן און פאַרקויפן דאַטן שייַכות צו MuddyWater אַפּעריישאַנז.

סייבער ספּייערז פון די מיטל מזרח

MuddyWater איז אַ גרופּע וואָס איז אַקטיוו זינט 2017 אין די מיטל מזרח. למשל, ווי עקספערטן פון Group-IB באַמערקן, פון פעברואר-אפריל 2019, כאַקערז דורכגעקאָכט אַ סעריע פון ​​פישינג מיילינגז אַימעד צו רעגירונג, בילדונגקרייז אָרגאַנאַזיישאַנז, פינאַנציעל, טעלאַקאַמיונאַקיישאַנז און פאַרטיידיקונג קאָמפּאַניעס אין טערקיי, יראַן, אַפגהאַניסטאַן, יראַק און אַזערביידזשאַן.

די גרופּע מיטגלידער נוצן אַ באַקדאָר פון זייער אייגענע אַנטוויקלונג באזירט אויף PowerShell, וואָס איז גערופֿן POWERSTATS. ער קען:

• קלייַבן דאַטן וועגן היגע און פעלד אַקאַונץ, בנימצא טעקע סערווערס, ינערלעך און פונדרויסנדיק IP אַדרעסעס, נאָמען און אַס אַרקאַטעקטשער;
• דורכפירן ווייַט קאָד דורכפירונג;
• ופּלאָאַד און אראפקאפיע טעקעס דורך C&C;
• דעטעקט דעם בייַזייַן פון דיבאַגינג מגילה געניצט אין די אַנאַליסיס פון בייזע טעקעס;
• פאַרמאַכן די סיסטעם אויב מגילה פֿאַר אַנאַלייזינג בייזע טעקעס זענען געפֿונען;
• ויסמעקן טעקעס פון היגע דרייווז;
• נעמען סקרעענשאָץ;
• דיסייבאַל זיכערהייט מיטלען אין Microsoft Office פּראָדוקטן.

אין עטלעכע פונט, די אַטאַקערז געמאכט אַ גרייַז און ריסערטשערז פון ReaQta געראטן צו באַקומען די לעצט IP אַדרעס, וואָס איז געווען ליגן אין טעהראַן. צוליב די צילן וואָס די גרופּע האָט אַטאַקירט, ווי אויך אירע צילן וואָס שייך צו סייבער שפּיאָנאַזש, האָבן עקספּערטן פֿאָרגעשלאָגן, אַז די גרופּע רעפּראַזענץ די אינטערעסן פֿון דער איראנער רעגירונג.

באַפאַלן ינדיקאַטאָרסC&C:

• גלאַדייאַטאָר[.]טק
• 94.23.148[.]194
• 192.95.21[.]28
• 46.105.84[.]146
• 185.162.235[.]182

טעקעס:

• 09aabd2613d339d90ddbd4b7c09195a9
• cfa845995b851aacdf40b8e6a5b87ba7
• a61b268e9bc9b7e6c9125cdbfb1c422a
• f12bab5541a7d8ef4bbca81f6fc835a3
• a066f5b93f4ac85e9adfe5ff3b10bc28
• 8a004e93d7ee3b26d94156768bc0839d
• 0638adf8fb4095d60fbef190a759aa9e
• eed599981c097944fa143e7d7f7e17b1
• 21aebece73549b3c4355a6060df410e9
• 5c6148619abb10bb3789dcfb32f759a6

טערקיי אונטער באַפאַלן

אויף אפריל 10, 2019, Group-IB ספּעשאַלאַסץ דיסקאַווערד אַ רינען פון מיילינג אַדרעסעס פון די טערקיש פירמע ASELSAN A.Ş, די גרעסטע פירמע אין די פעלד פון מיליטעריש עלעקטראָניק אין טערקיי. אירע פּראָדוקטן אַרייַננעמען ראַדאַר און עלעקטראָניק, עלעקטראָ-אָפּטיק, אַוויאָניקס, אַנמאַנד סיסטעמען, לאַנד, נייוואַל, וועפּאַנז און לופט פאַרטיידיקונג סיסטעמען.

אין לערנען איינער פון די נייַע סאַמפּאַלז פון די POWERSTATS מאַלוואַרע, Group-IB עקספּערץ באשלאסן אַז די MuddyWater גרופּע פון ​​​​אַטאַקערס געניצט ווי אַ לעקעכל דאָקומענט אַ דערלויבעניש העסקעם צווישן Koç Savunma, אַ פירמע וואָס פּראָדוצירן סאַלושאַנז אין די פעלד פון אינפֿאָרמאַציע און פאַרטיידיקונג טעקנאַלאַדזשיז, און Tubitak Bilgem. , אַן אינפֿאָרמאַציע זיכערהייט פאָרשונג צענטער און אַוואַנסירטע טעקנאַלאַדזשיז. דער קאָנטאַקט מענטש פֿאַר Koç Savunma איז געווען Tahir Taner Tımış, וואָס האָט געהאלטן די שטעלע פון ​​​​פּראָגראַם מאַנאַגער אין Koç Bilgi ve Savunma Teknolojileri A.Ş. פון סעפטעמבער 2013 צו דעצעמבער 2018. שפּעטער האָט ער אָנגעהויבן אַרבעטן אין ASELSAN A.Ş.

מוסטער דעקאָי דאָקומענט
נאָך דער באַניצער אַקטאַווייץ בייזע מאַקראָס, די POWERSTATS באַקדאָר איז דאַונלאָודיד צו די קאָרבן ס קאָמפּיוטער.

דאַנק צו די מעטאַדאַטאַ פון דעם דעקאָו דאָקומענט (MD5: 0638adf8fb4095d60fbef190a759aa9e) ריסערטשערז זענען ביכולת צו געפֿינען דריי נאָך סאַמפּאַלז מיט יידעניקאַל וואַלועס, אַרייַנגערעכנט די שאַפונג דאַטע און צייט, נאמען און אַ רשימה פון מאַקראָס קאַנטיינד:

• ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
• asd.doc (21aebece73549b3c4355a6060df410e9)
• F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)

סקרעענשאָט פון יידעניקאַל מעטאַדאַטאַ פון פאַרשידן דעקאָו דאָקומענטן

איינער פון די דיסקאַווערד דאָקומענטן מיט דעם נאָמען ListOfHackedEmails.doc כּולל אַ רשימה פון 34 בליצפּאָסט אַדרעסעס וואָס געהערן צו די פעלד @aselsan.com.tr.

גרופע-יב ספּעשאַלאַסץ אָפּגעשטעלט E- בריוו אַדרעסעס אין עפנטלעך בנימצא ליקס און געפֿונען אַז 28 פון זיי זענען קאַמפּראַמייזד אין פריער דיסקאַווערד ליקס. קאָנטראָלירונג די מישן פון בנימצא ליקס געוויזן וועגן 400 יינציק לאָגינס פֿאַרבונדן מיט דעם פעלד און פּאַסווערדז פֿאַר זיי. עס איז מעגלעך אַז אַטאַקערז געוויינט די עפנטלעך בנימצא דאַטן צו באַפאַלן ASELSAN A.Ş.

סקרעענשאָט פון דעם דאָקומענט ListOfHackedEmails.doc

סקרעענשאָט פון אַ רשימה פון מער ווי 450 דיטעקטאַד לאָגין-פּאַראָל פּערז אין ציבור ליקס
צווישן די אַנטדעקט מוסטערן איז אויך געווען אַ דאָקומענט מיט דעם טיטל F35-Specifications.doc, ריפערינג צו די F-35 פייטער דזשעט. דער לעקעכל דאָקומענט איז אַ ספּעסיפיקאַטיאָן פֿאַר די F-35 מאַלטי-ראָלע פייטער-באָמבער, וואָס ינדיקייץ די קעראַקטעריסטיקס און פּרייַז פון די ערקראַפט. די טעמע פון ​​דעם דעקאָי דאָקומענט איז גלייַך שייך צו די יו.

אַלע די דאַטן באקומען ינדיקייץ אַז די הויפּט טאַרגאַץ פון MuddyWater סייבער אנפאלן זענען אָרגאַנאַזיישאַנז לאָוקייטאַד אין טערקיי.

ווער זענען Gladiyator_CRK און Nima Nikjoo?

פריער, מערץ 2019, בייזע דאָקומענטן זענען דיסקאַווערד באשאפן דורך איין Windows באַניצער אונטער די ניקקנאַמע Gladiyator_CRK. די דאקומענטן אויך פונאנדערגעטיילט די POWERSTATS באַקדאָר און פארבונדן צו אַ C&C סערווער מיט אַ ענלעך נאָמען גלאַדייאַטאָר[.]טק.

דאָס קען זיין געטאן נאָך דער באַניצער נימאַ ניקדזשאָ פּאָסטעד אויף טוויטטער אויף 14 מערץ 2019, טריינג צו דעקאָדע אַבפוסקייטיד קאָד פֿאַרבונדן מיט MuddyWater. אין די באַמערקונגען צו דעם טוועעט, דער פאָרשער האט געזאגט אַז ער קען נישט טיילן ינדיקאַטאָרס פון קאָמפּראָמיס פֿאַר דעם מאַלוואַרע, ווייַל די אינפֿאָרמאַציע איז קאַנפאַדענשאַל. צום באַדויערן, די פּאָסטן איז שוין אויסגעמעקט, אָבער טראַסעס פון עס בלייבן אָנליין:

Nima Nikjoo איז די באַזיצער פון די Gladiyator_CRK פּראָפיל אויף די יראַניאַן ווידעא האָסטינג זייטלעך dideo.ir און videoi.ir. אויף דעם פּלאַץ, ער דעמאַנסטרייץ פּאָק עקספּלויץ צו דיסייבאַל אַנטיווירוס מכשירים פון פאַרשידן ווענדאָרס און בייפּאַס זאַמדבאָקסעס. נימאַ ניקדזשאָאָ שרייבט וועגן זיך אַז ער איז אַ נעץ זיכערהייט מומכע, ווי אויך אַ פאַרקערט ינזשעניר און מאַלוואַרע אַנאַליסט וואָס אַרבעט פֿאַר MTN Irancell, אַן יראַניאַן טעלאַקאַמיונאַקיישאַנז פירמע.

סקרעענשאָט פון געראטעוועט ווידיאס אין Google זוכן רעזולטאַטן:

שפּעטער, אויף 19 מערץ 2019, באַניצער נימאַ ניקדזשאָ אויף די געזעלשאַפטלעך נעץ טוויטטער טשיינדזשד זיין ניקקנאַמע צו מאַלוואַרע פייטער, און אויך אויסגעמעקט פֿאַרבונדענע אַרטיקלען און באַמערקונגען. דער פּראָפיל פון Gladiyator_CRK אויף די ווידעא האָסטינג dideo.ir איז אויך אויסגעמעקט, ווי איז געווען דער פאַל אויף יאָוטובע, און דער פּראָפיל זיך איז ריניימד N Tabrizi. אָבער, כּמעט אַ חודש שפּעטער (אפריל 16, 2019), די טוויטטער חשבון אנגעהויבן ניצן די נאָמען Nima Nikjoo ווידער.

בעשאַס דעם לערנען, גרופע-יב ספּעשאַלאַסץ דיסקאַווערד אַז נימאַ ניקדזשאָ איז שוין דערמאנט אין קשר מיט סייבער קרימינאַל אַקטיוויטעטן. אין אויגוסט 2014, האָט דער איראַן כאַבאַרעסטאַן בלאָג פֿאַרעפֿנטלעכט אינפֿאָרמאַציע וועגן מענטשן פֿאַרבונדן מיט דער סייבער קרימינאַל גרופּע איראַנער נאַסר אינסטיטוט. איין FireEye ויספאָרשונג האט געזאגט אַז Nasr אינסטיטוט איז געווען אַ קאָנטראַקטאָר פֿאַר APT33 און איז אויך ינוואַלווד אין DDoS אנפאלן אויף יו.

אַזוי אין דער זעלביקער בלאָג, נימאַ ניקדזשו-ניקדזשאָ איז געווען דערמאנט, וואָס איז געווען דעוועלאָפּינג מאַלוואַרע צו שפּיאָן אויף יראַניאַנס, און זיין בליצפּאָסט אַדרעס: gladiyator_cracker@yahoo[.]com.

סקרעענשאָט פון דאַטן אַטריביאַטאַד צו סייבער קרימאַנאַלז פון די יראַניאַן נאַסר אינסטיטוט:

איבערזעצונג פון די כיילייטיד טעקסט אין רוסיש: Nima Nikio - ספּיוואַרע דעוועלאָפּער - בליצפּאָסט:.

ווי איר קענען זען פֿון דעם אינפֿאָרמאַציע, די E- בריוו אַדרעס איז פארבונדן מיט די אַדרעס געניצט אין די אנפאלן און די ניצערס Gladiyator_CRK און Nima Nikjoo.

אין דערצו, דער אַרטיקל פון 15 יוני 2017 סטייטיד אַז Nikjoo איז געווען עפּעס אָפּגעלאָזן אין פּאָסטינג רעפערענצן צו Kavosh Security Center אויף זיין נעמענ זיכ ווידער. עסן מיינונגאז דער קאוואש זיכערהייט צענטער ווערט געשטיצט דורך די איראנער סטעיט צו פינאנצירן פרא-רעגירונג האקערס.

אינפֿאָרמאַציע וועגן די פירמע ווו Nima Nikjoo געארבעט:

די לינקעדין פּראָפיל פון טוויטטער באַניצער Nima Nikjoo ליסטעד זיין ערשטער אָרט פון באַשעפטיקונג ווי Kavosh Security Center, ווו ער געארבעט פון 2006 צו 2014. בעשאַס זיין אַרבעט, ער געלערנט פאַרשידן מאַלוואַרע, און אויך האַנדלען מיט פאַרקערט און אַבפאַסקיישאַן-פֿאַרבונדענע אַרבעט.

אינפֿאָרמאַציע וועגן די פירמע Nima Nikjoo געארבעט פֿאַר אויף לינקעדין:

מודדיוואַטער און הויך זיך-שאַצן

עס איז טשיקאַווע אַז די MuddyWater גרופּע קערפאַלי מאָניטאָרס אַלע ריפּאָרץ און אַרטיקלען פון אינפֿאָרמאַציע זיכערהייט עקספּערץ ארויס וועגן זיי, און אפילו דיליבראַטלי לינקס פאַלש פלאַגס אין ערשטער צו וואַרפן ריסערטשערז אַוועק די רייעך. פֿאַר בייַשפּיל, זייער ערשטער אנפאלן פאַרפירן עקספּערץ דורך דיטעקטינג די נוצן פון דנס מעסינדזשער, וואָס איז אָפט פארבונדן מיט די FIN7 גרופּע. אין אנדערע אטאקעס האבן זיי אריינגעלייגט כינעזער סטרינגס אין די קאוד.

אין דערצו, די גרופּע ליב צו לאָזן אַרטיקלען פֿאַר ריסערטשערז. פֿאַר בייַשפּיל, זיי האָבן נישט ווי אַז קאַספּערסקי לאַב געשטעלט MuddyWater אין 3 אָרט אין זיין סאַקאָנע ראַנג פֿאַר די יאָר. אין דער זעלביקער מאָמענט, עמעצער - מאַשמאָעס די MuddyWater גרופּע - ופּלאָאַדעד אַ פּאָק פון אַ עקספּלויט צו יאָוטובע וואָס דיסייבאַל די LK אַנטיווירוס. זיי אויך לאָזן אַ באַמערקונג אונטער דעם אַרטיקל.

סקרעענשאָץ פון די ווידעא אויף דיסייבאַלינג קאַספּערסקי לאַב אַנטיווירוס און די קאָמענטאַר אונטן:

עס איז נאָך שווער צו מאַכן אַן אַנאַמביגיואַס מסקנא וועגן די ינוואַלוומאַנט פון "Nima Nikjoo". גרופע-יב עקספּערץ באַטראַכטן צוויי ווערסיעס. Nima Nikjoo, טאַקע, קען זיין אַ העקער פון די MuddyWater גרופּע, וואָס איז געקומען צו ליכט רעכט צו זיין נעגלאַדזשאַנס און געוואקסן טעטיקייט אויף דער נעץ. די צווייטע אפציע איז, אז ער איז בכוונה "אויסגעשטעלט געווארן" דורך אנדערע מיטגלידער פון דער גרופע, כדי אוועקצופירן חשד פון זיך אליין. אין קיין פאַל, Group-IB האלט זיין פאָרשונג און וועט באשטימט באַריכט זייַן רעזולטאַטן.

וואָס שייך איראנער אַפּט, נאָך אַ סעריע פון ​​ליקס און ליקס, זיי וועלן מיסטאָמע באַקומען אַ ערנסט "דעבריפינג" - כאַקערז וועט זיין געצווונגען צו עמעס טוישן זייער מכשירים, רייניקן זייער שפּור און געפֿינען מעגלעך "מאָלעס" אין זייער רייען. עקספערטן האבן נישט אויסגעשלאסן אז זיי וועלן אפילו נעמען א צייט-אויס, אבער נאך א קורצע ברעכן, זענען די איראנער אפט אטאקעס ווידער פארבליבן.

מקור: www.habr.com