Awọn olosa ijọba ijọba ti Iran wa ni wahala nla. Ni gbogbo orisun omi, awọn eniyan aimọ ṣe atẹjade “awọn n jo asiri” lori Telegram - alaye nipa awọn ẹgbẹ APT ti o ni nkan ṣe pẹlu ijọba Iran - OilRig и MuddyOmi - wọn irinṣẹ, olufaragba, awọn isopọ. Ṣugbọn kii ṣe nipa gbogbo eniyan. Ni Oṣu Kẹrin, awọn alamọja Ẹgbẹ-IB ṣe awari jijo ti awọn adirẹsi ifiweranṣẹ ti ile-iṣẹ Turki ASELSAN A.Ş, eyiti o ṣe agbejade awọn redio ologun ti ọgbọn ati awọn eto aabo itanna fun awọn ologun ologun Turki. Anastasia Tikhonova, Ẹgbẹ-IB Onitẹsiwaju Irokeke Iwadi Ẹgbẹ Alakoso, ati Nikita RostovtsevOluyanju junior ni Group-IB, ṣe apejuwe ipa ti ikọlu lori ASELSAN A.Ş ati pe o rii alabaṣe ti o ṣeeṣe. MuddyOmi.
Imọlẹ nipasẹ Telegram
Jijo ti awọn ẹgbẹ APT ti Iran bẹrẹ pẹlu otitọ pe Lab Doukhtegan kan awọn koodu orisun ti awọn irinṣẹ APT34 mẹfa (aka OilRig ati HelixKitten), ṣafihan awọn adirẹsi IP ati awọn ibugbe ti o wa ninu awọn iṣẹ, ati data lori awọn olufaragba 66 ti awọn olosa, pẹlu Etihad Airways ati Emirates National Epo. Lab Doookhtegan tun tu data nipa awọn iṣẹ ṣiṣe ti ẹgbẹ ti o kọja ati alaye nipa awọn oṣiṣẹ ti Ile-iṣẹ Alaye ti Iran ati Aabo Orilẹ-ede ti o ni ibatan pẹlu awọn iṣẹ ẹgbẹ naa. OilRig jẹ ẹgbẹ APT ti o ni asopọ Iran ti o ti wa lati ọdun 2014 ati pe o dojukọ ijọba, owo ati awọn ẹgbẹ ologun, ati awọn ile-iṣẹ agbara ati awọn ibaraẹnisọrọ ni Aarin Ila-oorun ati China.
Lẹhin ti OilRig ti ṣafihan, awọn n jo tẹsiwaju - alaye nipa awọn iṣẹ ṣiṣe ti ẹgbẹ pro-ipinle miiran lati Iran, MuddyWater, han lori darknet ati lori Telegram. Bibẹẹkọ, laisi jijo akọkọ, ni akoko yii kii ṣe awọn koodu orisun ti a tẹjade, ṣugbọn awọn idalenu, pẹlu awọn sikirinisoti ti awọn koodu orisun, awọn olupin iṣakoso, ati awọn adirẹsi IP ti awọn olufaragba ti o ti kọja ti awọn olosa. Ni akoko yi, Green Leakers olosa gba ojuse fun awọn jo nipa MuddyWater. Wọn ni awọn ikanni Telegram pupọ ati awọn aaye dudu nibiti wọn ti polowo ati ta data ti o ni ibatan si awọn iṣẹ MuddyWater.
Awọn amí Cyber lati Aarin Ila-oorun
MuddyOmi jẹ ẹgbẹ kan ti o ti nṣiṣe lọwọ lati ọdun 2017 ni Aarin Ila-oorun. Fun apẹẹrẹ, gẹgẹbi awọn amoye Ẹgbẹ-IB ṣe akiyesi, lati Kínní si Oṣu Kẹrin ọdun 2019, awọn olosa ṣe ọpọlọpọ awọn ifiweranṣẹ ararẹ ti o ni ero si ijọba, awọn ẹgbẹ eto-ẹkọ, owo, awọn ibaraẹnisọrọ ati awọn ile-iṣẹ aabo ni Tọki, Iran, Afiganisitani, Iraq ati Azerbaijan.
Awọn ọmọ ẹgbẹ naa lo ẹhin ti idagbasoke tiwọn ti o da lori PowerShell, eyiti a pe AGBARA. O le:
- gba data nipa agbegbe ati awọn iroyin agbegbe, awọn olupin faili ti o wa, awọn adiresi IP inu ati ita, orukọ ati OS faaji;
- ṣe ipaniyan koodu latọna jijin;
- po si ati ki o gba awọn faili nipasẹ C & C;
- rii wiwa awọn eto n ṣatunṣe aṣiṣe ti a lo ninu itupalẹ awọn faili irira;
- pa eto naa ti a ba rii awọn eto fun itupalẹ awọn faili irira;
- paarẹ awọn faili lati awọn awakọ agbegbe;
- ya awọn sikirinisoti;
- mu awọn igbese aabo ni awọn ọja Microsoft Office.
Ni aaye kan, awọn olutọpa ṣe aṣiṣe kan ati awọn oluwadi lati ReaQta ṣakoso lati gba adiresi IP ti o kẹhin, eyiti o wa ni Tehran. Fi fun awọn ibi-afẹde ti ẹgbẹ kolu, ati awọn ibi-afẹde rẹ ti o ni ibatan si amí cyber, awọn amoye ti daba pe ẹgbẹ naa duro fun awọn ire ti ijọba Iran.
Awọn itọkasi ikọluC&C:
- gladiator[.] tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Awọn faili:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Türkiye labẹ ikọlu
Ni Oṣu Kẹrin Ọjọ 10, Ọdun 2019, awọn alamọja Ẹgbẹ-IB ṣe awari jijo ti awọn adirẹsi ifiweranṣẹ ti ile-iṣẹ Tọki ASELSAN A.Ş, ile-iṣẹ ti o tobi julọ ni aaye ti ẹrọ itanna ologun ni Tọki. Awọn ọja rẹ pẹlu radar ati ẹrọ itanna, elekitiro-opiki, awọn avionics, awọn ọna ṣiṣe ti ko ni eniyan, ilẹ, ọkọ oju omi, awọn ohun ija ati awọn eto aabo afẹfẹ.
Ikẹkọ ọkan ninu awọn apẹẹrẹ tuntun ti POWERSTATS malware, awọn amoye Ẹgbẹ-IB pinnu pe ẹgbẹ MuddyWater ti awọn ikọlu lo bi iwe adehun iwe-aṣẹ kan laarin Koç Savunma, ile-iṣẹ ti n ṣe awọn solusan ni aaye ti alaye ati awọn imọ-ẹrọ olugbeja, ati Tubitak Bilgem. , ile-iṣẹ iwadii aabo alaye ati awọn imọ-ẹrọ to ti ni ilọsiwaju. Olubasọrọ fun Koç Savunma ni Tahir Taner Tımış, ẹniti o di ipo Alakoso Awọn eto ni Koç Bilgi ve Savunma Teknolojileri A.Ş. lati Oṣu Kẹsan 2013 si Oṣu kejila ọdun 2018. Nigbamii o bẹrẹ ṣiṣẹ ni ASELSAN A.Ş.
Apeere decoy iwe
Lẹhin ti olumulo naa mu awọn macros irira ṣiṣẹ, POWERSTATS backdoor ti wa ni igbasilẹ si kọnputa ti olufaragba.
Ṣeun si metadata ti iwe ẹtan yii (MD5: 0638adf8fb4095d60fbef190a759aa9e) Awọn oniwadi ni anfani lati wa awọn ayẹwo afikun mẹta ti o ni awọn iye kanna, pẹlu ọjọ ẹda ati akoko, orukọ olumulo, ati atokọ ti awọn macros ti o wa ninu:
- AkojọOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Sikirinifoto ti metadata kanna ti ọpọlọpọ awọn iwe aṣẹ ẹtan
Ọkan ninu awọn iwe aṣẹ awari pẹlu orukọ ListOfHackedEmails.doc ni atokọ ti awọn adirẹsi imeeli 34 ti o jẹ ti agbegbe naa @aselsan.com.tr.
Awọn alamọja ẹgbẹ-IB ṣayẹwo awọn adirẹsi imeeli ni awọn n jo ti o wa ni gbangba ati rii pe 28 ninu wọn ti gbogun ninu awọn n jo ti a ti ṣawari tẹlẹ. Ṣiṣayẹwo akojọpọ awọn n jo ti o wa fihan nipa awọn iwọle alailẹgbẹ 400 ti o ni nkan ṣe pẹlu agbegbe yii ati awọn ọrọ igbaniwọle fun wọn. O ṣee ṣe pe awọn ikọlu lo data ti o wa ni gbangba yii lati kọlu ASELSAN A.Ş.
Sikirinifoto ti iwe-ipamọ ListOfHackedEmails.doc
Sikirinifoto ti atokọ diẹ sii ju 450 ti a rii awọn orisii ọrọ igbaniwọle iwọle ni awọn n jo gbangba
Lara awọn ayẹwo ti a ṣe awari tun wa iwe-ipamọ pẹlu akọle F35-Specifications.doc, ti o tọka si ọkọ ofurufu F-35. Iwe aṣẹ ìdẹ jẹ sipesifikesonu fun F-35 olona-ipa onija-bomber, nfihan awọn abuda ọkọ ofurufu ati idiyele. Koko-ọrọ ti iwe ẹtan yii ni ibatan taara si kiko AMẸRIKA lati pese F-35s lẹhin rira Tọki ti awọn eto S-400 ati irokeke gbigbe alaye nipa F-35 Monomono II si Russia.
Gbogbo data ti o gba fihan pe awọn ibi-afẹde akọkọ ti awọn ikọlu cyber MuddyWater jẹ awọn ajo ti o wa ni Tọki.
Tani Gladiyator_CRK ati Nima Nikjoo?
Ni iṣaaju, ni Oṣu Kẹta ọdun 2019, awọn iwe aṣẹ irira ni a ṣe awari nipasẹ olumulo Windows kan labẹ oruko apeso Gladiyator_CRK. Awọn iwe aṣẹ wọnyi tun pin POWERSTATS backdoor ati sopọ si olupin C&C kan pẹlu orukọ ti o jọra gladiator[.] tk.
Eyi le ti ṣe lẹhin olumulo Nima Nikjoo ti fiweranṣẹ lori Twitter ni Oṣu Kẹta Ọjọ 14, Ọdun 2019, ni igbiyanju lati ṣe iyipada koodu obfuscated ti o ni nkan ṣe pẹlu MuddyWater. Ninu awọn asọye si tweet yii, oniwadi naa sọ pe oun ko le pin awọn ifihan ifaramo fun malware yii, nitori alaye yii jẹ asiri. Laanu, ifiweranṣẹ naa ti paarẹ tẹlẹ, ṣugbọn awọn itọpa rẹ wa lori ayelujara:
Nima Nikjoo ni oniwun profaili Gladiyator_CRK lori awọn aaye gbigbalejo fidio Iranian dideo.ir ati videoi.ir. Lori aaye yii, o ṣe afihan awọn anfani PoC lati mu awọn irinṣẹ ọlọjẹ kuro lati ọdọ awọn olutaja lọpọlọpọ ati awọn apoti iyanrin fori. Nima Nikjoo kowe nipa ara rẹ pe o jẹ alamọja aabo nẹtiwọọki, bakanna bi ẹlẹrọ iyipada ati oluyanju malware ti o ṣiṣẹ fun MTN Irancell, ile-iṣẹ ibaraẹnisọrọ ti Iran kan.
Sikirinifoto ti awọn fidio ti a fipamọ sinu awọn abajade wiwa Google:
Nigbamii, ni Oṣu Kẹta Ọjọ 19, Ọdun 2019, olumulo Nima Nikjoo lori nẹtiwọọki awujọ Twitter yi orukọ apeso rẹ pada si Malware Fighter, ati pe o tun paarẹ awọn ifiweranṣẹ ti o jọmọ ati awọn asọye. Profaili Gladiyator_CRK lori dideo.ir gbigbalejo fidio tun ti paarẹ, gẹgẹ bi ọran lori YouTube, ati pe profaili funrararẹ ti tunrukọ N Tabrizi. Sibẹsibẹ, o fẹrẹ to oṣu kan lẹhinna (Oṣu Kẹrin Ọjọ 16, Ọdun 2019), akọọlẹ Twitter bẹrẹ lilo orukọ Nima Nikjoo lẹẹkansi.
Lakoko iwadii naa, awọn alamọja Ẹgbẹ-IB ṣe awari pe Nima Nikjoo ti mẹnuba tẹlẹ ni asopọ pẹlu awọn iṣẹ ọdaràn cyber. Ni Oṣu Kẹjọ ọdun 2014, bulọọgi Iran Khabarestan ṣe atẹjade alaye nipa awọn ẹni-kọọkan ti o ni nkan ṣe pẹlu ẹgbẹ cybercriminal Iranian Nasr Institute. Iwadi FireEye kan sọ pe Nasr Institute jẹ olugbaisese fun APT33 ati pe o tun kopa ninu ikọlu DDoS si awọn banki AMẸRIKA laarin ọdun 2011 ati 2013 gẹgẹbi apakan ti ipolongo ti a pe ni Operation Ababil.
Nitorinaa ninu bulọọgi kanna, Nima Nikju-Nikjoo ni mẹnuba, ẹniti o ndagba malware lati ṣe amí lori awọn ara ilu Iran, ati adirẹsi imeeli rẹ: gladiator_cracker@yahoo[.]com.
Sikirinifoto ti data ti a sọ si awọn ọdaràn cyber lati Ile-ẹkọ Nasr Iranian:
Itumọ ọrọ ti afihan si Russian: Nima Nikio - Spyware Olùgbéejáde - Imeeli:.
Gẹgẹbi a ti le rii lati alaye yii, adirẹsi imeeli ni nkan ṣe pẹlu adirẹsi ti a lo ninu awọn ikọlu ati awọn olumulo Gladiyator_CRK ati Nima Nikjoo.
Ni afikun, nkan June 15, 2017 sọ pe Nikjoo jẹ aibikita diẹ ninu fifiranṣẹ awọn itọkasi si Ile-iṣẹ Aabo Kavosh lori ibẹrẹ rẹ. Jeun pe Ile-iṣẹ Aabo Kavosh ni atilẹyin nipasẹ ilu Iran lati nọnwo si awọn olosa ijọba ijọba.
Alaye nipa ile-iṣẹ nibiti Nima Nikjoo ti ṣiṣẹ:
Olumulo Twitter Nima Nikjoo's Profaili LinkedIn ṣe atokọ aaye iṣẹ akọkọ rẹ bi Ile-iṣẹ Aabo Kavosh, nibiti o ti ṣiṣẹ lati ọdun 2006 si 2014. Lakoko iṣẹ rẹ, o kẹkọọ ọpọlọpọ malware, ati tun ṣe pẹlu ipadasẹhin ati iṣẹ ti o ni ibatan obfuscation.
Alaye nipa ile-iṣẹ Nima Nikjoo ṣiṣẹ fun lori LinkedIn:
MuddyWater ati ki o ga ara-niyi
O jẹ iyanilenu pe ẹgbẹ MuddyWater farabalẹ ṣe abojuto gbogbo awọn ijabọ ati awọn ifiranṣẹ lati ọdọ awọn amoye aabo alaye ti a tẹjade nipa wọn, ati paapaa mọọmọ fi awọn asia eke silẹ ni akọkọ lati jabọ awọn oniwadi kuro ni õrùn. Fun apẹẹrẹ, awọn ikọlu akọkọ wọn ṣi awọn amoye lọna nipa ṣiṣawari lilo DNS Messenger, eyiti o ni nkan ṣe pẹlu ẹgbẹ FIN7. Ni awọn ikọlu miiran, wọn fi awọn gbolohun ọrọ Kannada sinu koodu naa.
Ni afikun, ẹgbẹ fẹràn lati fi awọn ifiranṣẹ silẹ fun awọn oluwadi. Fun apẹẹrẹ, wọn ko fẹran pe Kaspersky Lab gbe MuddyWater si ipo 3rd ni idiyele irokeke rẹ fun ọdun naa. Ni akoko kanna, ẹnikan - aigbekele ẹgbẹ MuddyWater - gbejade PoC kan ti ilokulo si YouTube ti o mu antivirus LK kuro. Wọn tun fi asọye silẹ labẹ nkan naa.
Awọn sikirinisoti ti fidio lori piparẹ Kaspersky Lab antivirus ati asọye ni isalẹ:
O tun nira lati ṣe ipinnu ti ko ni idaniloju nipa ilowosi “Nima Nikjoo”. Awọn amoye ẹgbẹ-IB n gbero awọn ẹya meji. Nima Nikjoo, nitootọ, le jẹ agbonaeburuwole lati ẹgbẹ MuddyWater, ti o wa si imọlẹ nitori aibikita rẹ ati iṣẹ ṣiṣe ti o pọ si lori nẹtiwọọki. Aṣayan keji ni pe o ti mọọmọ "fi han" nipasẹ awọn ọmọ ẹgbẹ miiran lati le yi ifura kuro ninu ara wọn. Ni eyikeyi idiyele, Ẹgbẹ-IB tẹsiwaju iwadii rẹ ati pe yoo ṣe ijabọ awọn abajade rẹ ni pato.
Bi fun awọn APT ti Iran, lẹhin lẹsẹsẹ ti awọn n jo ati awọn n jo, wọn yoo le koju “isọye” pataki kan - awọn olosa yoo fi agbara mu lati yi awọn irinṣẹ wọn pada ni pataki, nu awọn orin wọn ki o wa “awọn moles” ti o ṣeeṣe ni awọn ipo wọn. Awọn amoye ko ṣe akoso jade pe wọn yoo paapaa gba akoko kan, ṣugbọn lẹhin isinmi kukuru kan, awọn ikọlu APT ti Iran tẹsiwaju lẹẹkansi.
orisun: www.habr.com