伊朗亲国家黑客遇到了大麻烦。 整个春天,不明身份的人在 Telegram 上发布了“秘密泄密”——有关与伊朗政府有关联的 APT 组织的信息—— 石油钻机 и 浑水 ——他们的工具、受害者、联系。 但并非针对所有人。 今年 XNUMX 月,Group-IB 专家发现土耳其公司 ASELSAN A.Ş 的电子邮件地址泄露,该公司为土耳其武装部队生产战术军事广播电台和电子防御系统。 阿纳斯塔西娅·吉霍诺娃,IB 组高级威胁研究小组组长,以及 尼基塔·罗斯托夫采夫Group-IB 初级分析师描述了 ASELSAN A.Ş 的攻击过程并找到了可能的参与者 浑水.
通过电报闪光
伊朗 APT 组织的“流失”始于某个 Lab Dookhtegan 六个 APT34 工具(又名 OilRig 和 HelixKitten)的源代码揭示了交易中涉及的 IP 地址和域名,以及 66 名黑客受害者的数据,其中包括阿提哈德航空公司和阿联酋国家石油公司。 Lab Dookhtegan 还“泄露”了该组织过去运营的数据以及据称与该组织运营有关的伊朗信息和国家安全部员工的信息。 OilRig 是一个与伊朗有关的 APT 组织,自 2014 年以来一直存在,其目标是中东和中国的政府、金融和军事组织以及能源和电信公司。
OilRig 曝光后,“泄密”仍在继续——有关伊朗另一个亲国家组织 MuddyWater 活动的信息出现在暗网和 Telegram 上。 然而,与第一次泄露不同的是,这次发布的不是源代码,而是转储,包括源屏幕截图、控制服务器以及过去黑客受害者的 IP 地址。 这一次,绿色泄密者声称对浑水泄密事件负责。 他们拥有多个 Telegram 频道和暗网网站,在这些网站上宣传和出售与 MuddyWater 运营相关的数据。
来自中东的网络间谍
浑水 是一个自 2017 年以来一直在中东国家开展业务的集团。 例如,据 Group-IB 专家称,2019 年 XNUMX 月至 XNUMX 月,黑客针对土耳其、伊朗、阿富汗、伊拉克和阿塞拜疆的政府、教育组织、金融、电信和国防公司进行了一系列网络钓鱼邮件。
该组织的成员使用自己设计的基于PowerShell的后门,称为 电源统计。 他可以:
- 收集有关本地和域帐户、可用文件服务器、内部和外部 IP 地址、操作系统名称和体系结构的数据;
- 执行远程代码;
- 通过C&C上传和下载文件;
- 确定是否存在用于分析恶意文件的调试程序;
- 如果发现分析恶意文件的程序,请关闭系统;
- 从本地驱动器删除文件;
- 截屏;
- 禁用 Microsoft Office 产品的保护措施。
在某个时候,攻击者犯了一个错误,ReaQta 的研究人员设法获得了位于德黑兰的最终 IP 地址。 鉴于该组织攻击的目标以及与网络间谍活动相关的任务,专家认为该组织代表伊朗政府的利益。
攻击指标C&C:
- 角斗士[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
文件:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
枪口下的土耳其
10 年 2019 月 XNUMX 日,Group-IB 专家发现土耳其最大的军事电子公司 ASELSAN A.Ş 的电子邮件地址泄露。 其产品包括雷达和航空电子设备、电光、航空电子设备、无人系统、地面、海军和武器系统以及防空系统。
在研究 POWERSTATS 恶意软件的一个新样本时,Group-IB 专家确定 MuddyWater 攻击组织使用信息和防御技术解决方案公司 Koç Savunma 与信息安全研究公司 Tubitak Bilgem 之间的许可协议作为诱饵文档。中心和先进技术。 Koç Savunma 的联系人是 Tahir Taner Tımış,他曾担任 Koç Bilgi ve Savunma Teknolojileri A.Ş 的项目经理。 从2013年2018月到XNUMX年XNUMX月。 后来他开始为 ASELSAN A.Ş 工作。
诱饵文档示例
用户激活恶意宏后,POWERSTATS 后门就会下载到受害者的计算机上。
感谢这个诱饵文档的元数据(MD5: 0638adf8fb4095d60fbef190a759aa9e),研究人员能够找到三个包含相同值的附加样本,包括创建日期和时间、用户名以及包含的宏列表:
- ListOfHackedEmails.doc(eed599981c097944fa143e7d7f7e17b1)
- asd.doc(21aebece73549b3c4355a6060df410e9)
- F35-规格.doc (5c6148619abb10bb3789dcfb32f759a6)
各种蜜罐文档的相同元数据的屏幕截图
已发现的文件之一名为 黑客电子邮件列表.doc 包含属于该域的 34 个电子邮件地址的列表 @aselsan.com.tr.
Group-IB 专家检查了公开泄露的电子邮件地址,发现其中 28 个电子邮件地址在之前发现的泄露中已被泄露。 检查可用泄漏的组合显示大约 400 个与该域相关的唯一登录名及其密码。 也许攻击者使用这些公开数据来攻击 ASELSAN A.Ş。
ListOfHackedEmails.doc 的屏幕截图
公开泄露的超过 450 个检测到的登录密码对列表的屏幕截图
在发现的样本中还有一份标题为 F35-规格.doc指的是F-35战斗机。 诱饵文件是F-35多功能战斗轰炸机的规格,标明了该机的特点和价格。 这份诱饵文件的主题直接涉及土耳其购买S-35系统后美国拒绝供应F-400以及威胁将F-35闪电II信息传输给俄罗斯。
收到的所有数据表明,位于土耳其的组织是 MuddyWater 网络攻击的主要目标。
Gladiyator_CRK 和 Nima Nikjoo 是谁?
此前,即 2019 年 XNUMX 月,一名 Windows 用户以昵称 Gladiyator_CRK 创建的恶意文档被发现。 这些文档还分发了 POWERSTATS 后门,并连接到具有相似名称的 C&C 服务器。 角斗士[.]tk.
这可能是在 Nima Nikjoo 于 14 年 2019 月 XNUMX 日发布 Twitter 帖子后完成的,其中他试图解码与 MuddyWater 相关的混淆代码。 在这条推文的评论中,研究人员表示,他无法分享该恶意软件的危害指标,因为该信息是机密的。 不幸的是,该条目已被删除,但其痕迹仍然保留在网络上:
Nima Nikjoo 是伊朗视频托管网站 dideo.ir 和 videoi.ir 上 Gladiyator_CRK 个人资料的所有者。 在此站点上,他演示了如何利用 PoC 漏洞来禁用各个供应商的防病毒工具并绕过沙箱。 关于自己,Nima Nikjoo 写道,他是一名网络安全专家,也是一名逆向工程师和恶意软件分析师,在伊朗电信公司 MTN Irelandcell 工作。
Google 搜索结果中保存的视频的屏幕截图:
随后,19年2019月16日,推特用户Nima Nikjoo将昵称改为Malware Fighter,并删除了相关帖子和评论。 视频托管 dideo.ir 以及 YouTube 上的 Gladiyator_CRK 个人资料也被删除,并且该个人资料本身已重命名为 N Tabrizi。 然而,大约一个月后(2019 年 XNUMX 月 XNUMX 日),Twitter 账户又开始使用 Nima Nikjoo 这个名字。
在研究过程中,Group-IB 专家发现 Nima Nikjoo 已被提及与网络犯罪活动有关。 2014 年 33 月,伊朗哈巴雷斯坦博客发布了与伊朗纳斯尔研究所网络犯罪组织有关联的个人信息。 FireEye 的一项调查表明,Nasr Institute 是 APT2011 承包商,并且还参与了 2013 年至 XNUMX 年间针对美国银行的 DDoS 攻击,这是名为“Ababil 行动”的活动的一部分。
因此,在同一个博客中,提到了 Nima Nikju-Nikjoo,他正在开发恶意软件来监视伊朗人,他的电子邮件地址是:gladiyator_cracker@yahoo[.]com。
伊朗纳斯尔研究所网络犯罪分子的数据截图:
将选定的翻译成俄语: Nima Nikio - 间谍软件开发人员 - 电子邮件地址:.
从这些信息可以看出,该电子邮件地址与攻击中使用的地址以及用户 Gladiyator_CRK 和 Nima Nikjoo 相关联。
此外,15年2017月XNUMX日的文章称,Nikjoo在简历中发布Kavosh安全中心公司的链接似乎有些草率。 吃 卡沃什安全中心得到伊朗国家的支持,为亲政府黑客提供资金。
Nima Nikjoo 工作过的公司信息:
Twitter 用户 Nima Nikjoo 的 LinkedIn 个人资料将 Kavosh 安全中心列为他的第一份工作,他于 2006 年至 2014 年在那里工作。 在工作期间,他研究了各种恶意软件,也处理过逆向和混淆相关的工作。
LinkedIn 上有关 Nima Nikjoo 工作过的公司的信息:
浑水和膨胀的自尊
奇怪的是,浑水集团仔细监控了信息安全专家发布的所有有关他们的报告和消息,甚至一开始就故意留下虚假标记,让研究人员迷失方向。 例如,他们的第一次攻击误导了专家,因为他们发现了 DNS Messenger 的使用,而 DNS Messenger 通常与 FIN7 组织相关。 在其他攻击中,他们将中文字符串插入代码中。
此外,小组非常喜欢给研究人员留言。 例如,他们不喜欢卡巴斯基实验室将 MuddyWater 在今年的威胁评级中排名第三。 与此同时,有人(大概是 MuddyWater 组织)向 YouTube 上传了一个可禁用 LK 防病毒软件的 PoC 漏洞。 他们还在文章下留下了评论。
关于禁用卡巴斯基实验室防病毒软件的视频截图及其下面的评论:
到目前为止,对于“尼玛尼克乔”的参与,还很难得出明确的结论。 Group-IB 专家正在考虑两个版本。 Nima Nikjoo 可能确实是 MuddyWater 组织的一名黑客,由于他的疏忽和在线活动的增加而被曝光。 第二种选择是,他被团里其他成员特意“点灯”,以转移对自己的怀疑。 无论如何,Group-IB都会继续研究,并且一定会报告结果。
至于伊朗的APT,在一系列的泄密和泄密之后,他们很可能面临严重的“汇报”——黑客将被迫认真更换工具、清理痕迹并寻找队伍中可能的“内奸”。 专家们不排除甚至会暂停,但短暂休息后,伊朗APT攻击再次继续。
来源: habr.com