伊朗親政府駭客遇到大麻煩了。 整個春天,不明身份的人在 Telegram 上發布了「秘密洩密」——有關與伊朗政府有關的 APT 組織的資訊—— 石油鑽機 и 渾水 ——他們的工具、受害者、聯繫。 但並非針對所有人。 今年 XNUMX 月,Group-IB 專家發現土耳其公司 ASELSAN A.Ş 的郵寄地址被洩露,該公司為土耳其武裝部隊生產戰術軍用無線電和電子防禦系統。 阿納斯塔西婭·吉霍諾娃,IB 組高級威脅研究小組組長,以及 尼基塔·羅斯托夫采夫Group-IB 的初級分析師描述了 ASELSAN A.Ş 的攻擊過程並找到了可能的參與者 渾水.
透過電報照明
伊朗 APT 組織的洩密始於某實驗室 Doukhtegan 六個 APT34 工具(又稱 OilRig 和 HelixKitten)的源代碼揭示了參與操作的 IP 位址和域名,以及 66 名駭客受害者的數據,其中包括阿提哈德航空公司和阿聯酋國家石油公司。 Lab Doookhtegan 還洩露了有關該組織過去運營的數據以及據稱與該組織運營有關的伊朗資訊和國家安全部員工的資訊。 OilRig 是一個與伊朗有關的 APT 組織,自 2014 年左右開始存在,其目標是中東和中國的政府、金融和軍事組織以及能源和電信公司。
OilRig 被曝光後,洩密事件仍在繼續——有關伊朗另一個親國家組織 MuddyWater 活動的資訊出現在暗網和 Telegram 上。 然而,與第一次洩漏不同的是,這次公佈的不是原始碼,而是轉儲,包括原始碼的螢幕截圖、控制伺服器以及過去駭客受害者的 IP 位址。 這一次,Green Leakers 駭客對 MuddyWater 的洩密事件承擔了責任。 他們擁有多個 Telegram 頻道和暗網網站,在這些網站上宣傳和銷售與 MuddyWater 營運相關的數據。
來自中東的網路間諜
渾水 是一個自 2017 年以來一直活躍在中東的組織。 例如,Group-IB 專家指出,從 2019 年 XNUMX 月到 XNUMX 月,駭客針對土耳其、伊朗、阿富汗、伊拉克和亞塞拜然的政府、教育組織、金融、電信和國防公司進行了一系列網路釣魚郵件。
該團體成員使用了自己開發的基於PowerShell的後門,名為 電源統計。 他可以:
- 收集有關本機和網域帳戶、可用檔案伺服器、內部和外部 IP 位址、名稱和作業系統架構的資料;
- 進行遠端程式碼執行;
- 透過C&C上傳和下載文件;
- 檢測是否存在用於分析惡意檔案的調試程式;
- 如果發現分析惡意檔案的程序,請關閉系統;
- 從本機磁碟機刪除檔案;
- 螢幕截圖;
- 停用 Microsoft Office 產品中的安全措施。
在某個時候,攻擊者犯了一個錯誤,ReaQta 的研究人員設法獲得了位於德黑蘭的最終 IP 位址。 鑑於該組織攻擊的目標以及與網路間諜活動相關的目標,專家認為該組織代表伊朗政府的利益。
攻擊指標C&C:
- 角鬥士[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
文件:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
土耳其受到攻擊
10 年 2019 月 XNUMX 日,Group-IB 專家發現土耳其軍用電子領域最大公司 ASELSAN A.Ş 的郵寄地址外洩。 其產品包括雷達和電子、電光、航空電子、無人系統、陸地、海軍、武器和防空系統。
透過研究 POWERSTATS 惡意軟體的新樣本,Group-IB 專家確定,MuddyWater 攻擊者組織使用 Koç Savunma(一家在資訊和防禦技術領域生產解決方案的公司)與 Tubitak Bilgem 之間的許可協議作為誘餌文檔。 ,資訊安全研究中心和先進技術。 Koç Savunma 的聯絡人是 Tahir Taner Tımış,他在 Koç Bilgi ve Savunma Teknolojileri A.Ş 擔任專案經理。 從2013年2018月到XNUMX年XNUMX月。 後來他開始在 ASELSAN A.Ş. 工作。
誘餌文件範例
使用者啟動惡意宏後,POWERSTATS後門就會下載到受害者的電腦上。
感謝這篇誘餌文件的元資料(MD5: 0638adf8fb4095d60fbef190a759aa9e)研究人員能夠找到三個包含相同值的附加樣本,包括建立日期和時間、使用者名稱以及包含的巨集清單:
- ListOfHackedEmails.doc(eed599981c097944fa143e7d7f7e17b1)
- asd.doc(21aebece73549b3c4355a6060df410e9)
- F35-規格.doc (5c6148619abb10bb3789dcfb32f759a6)
各種誘餌文件的相同元資料的螢幕截圖
已發現的文件之一,其名稱為 駭客電子郵件清單.doc 包含屬於該網域的 34 個電子郵件地址的列表 @aselsan.com.tr.
Group-IB 專家檢查了公開洩露的電子郵件地址,發現其中 28 個電子郵件地址在先前發現的洩漏中遭到洩露。 檢查可用洩漏的組合顯示大約 400 個與該網域相關的唯一登入名稱及其密碼。 攻擊者有可能使用這些公開資料來攻擊 ASELSAN A.Ş。
文件 ListOfHackedEmails.doc 的螢幕截圖
公開洩露的超過 450 個檢測到的登入密碼對清單的螢幕截圖
在發現的樣本中還有一份標題為 F35-規格.doc,指的是F-35戰鬥機。 誘餌檔案是F-35多用途戰鬥轟炸機的規格,顯示該機的特性和價格。 這份誘餌文件的主題直接涉及土耳其購買S-35系統後美國拒絕供應F-400以及威脅將F-35閃電II訊息傳輸給俄羅斯。
所有收到的數據都表明,MuddyWater 網路攻擊的主要目標是位於土耳其的組織。
Gladiyator_CRK 和 Nima Nikjoo 是誰?
在此之前,即 2019 年 XNUMX 月,一名 Windows 使用者以暱稱 Gladiyator_CRK 建立了惡意文件。 這些文件還分發了 POWERSTATS 後門並連接到具有相似名稱的 C&C 伺服器 角鬥士[.]tk.
這可能是在用戶 Nima Nikjoo 於 14 年 2019 月 XNUMX 日在 Twitter 上發布貼文試圖解碼與 MuddyWater 相關的混淆程式碼後完成的。 在這則推文的評論中,研究人員表示,他無法分享該惡意軟體的妥協指標,因為該資訊是機密的。 不幸的是,該帖子已被刪除,但其痕跡仍然存在於網上:
Nima Nikjoo 是伊朗影片託管網站 dideo.ir 和 videoi.ir 上 Gladiyator_CRK 個人資料的所有者。 在此網站上,他示範如何利用 PoC 漏洞來停用各個供應商的防毒工具並繞過沙箱。 Nima Nikjoo 在介紹自己時稱,他是網路安全專家,也是一名逆向工程師和惡意軟體分析師,任職於伊朗電信公司 MTN Irelandcell。
Google 搜尋結果中儲存的影片的螢幕截圖:
隨後,19年2019月16日,社交網路Twitter上的用戶Nima Nikjoo將自己的暱稱改為Malware Fighter,並刪除了相關貼文和評論。 影片託管 dideo.ir 上的 Gladiyator_CRK 個人資料也被刪除,就像 YouTube 上的情況一樣,個人資料本身更名為 N Tabrizi。 然而,大約一個月後(2019 年 XNUMX 月 XNUMX 日),Twitter 帳號又開始使用 Nima Nikjoo 這個名字。
在研究過程中,Group-IB 專家發現 Nima Nikjoo 已被提及與網路犯罪活動有關。 2014 年 33 月,伊朗哈巴雷斯坦部落格發布了與網路犯罪組織伊朗納斯爾研究所有關聯的個人資訊。 FireEye 的一項調查表明,Nasr Institute 是 APT2011 的承包商,並且還參與了 2013 年至 XNUMX 年間針對美國銀行的 DDoS 攻擊,這是「Ababil 行動」活動的一部分。
因此,在同一個部落格中,提到了 Nima Nikju-Nikjoo,他正在開發惡意軟體來監視伊朗人,他的電子郵件地址是:gladiyator_cracker@yahoo[.]com。
伊朗納斯爾研究所網路犯罪分子的資料截圖:
將突出顯示的文字翻譯成俄語: Nima Nikio - 間諜軟體開發人員 - 電子郵件:.
從這些資訊可以看出,該電子郵件地址與攻擊中使用的地址以及使用者 Gladiyator_CRK 和 Nima Nikjoo 相關聯。
此外,15 年 2017 月 XNUMX 日的文章指出,Nikjoo 在履歷中提及 Kavosh 安全中心時有些粗心。 吃 卡沃什安全中心得到伊朗國家的支持,為親政府駭客提供資金。
Nima Nikjoo 工作過的公司資訊:
Twitter 用戶 Nima Nikjoo 的 LinkedIn 個人資料顯示,他的第一個工作地點是 Kavosh 安全中心,他於 2006 年至 2014 年在那裡工作。 在工作期間,他研究了各種惡意軟體,也處理過逆向和混淆相關的工作。
LinkedIn 上有關 Nima Nikjoo 工作過的公司的資訊:
渾水和高自尊
奇怪的是,MuddyWater 組織仔細監控了資安專家發布的所有報告和訊息,甚至一開始就故意留下虛假標記,讓研究人員失去蹤跡。 例如,他們的第一次攻擊透過偵測 DNS Messenger 的使用誤導了專家,而 DNS Messenger 通常與 FIN7 組織相關。 在其他攻擊中,他們將中文字串插入程式碼中。
此外,該小組也喜歡給研究人員留言。 例如,他們不喜歡卡巴斯基實驗室將 MuddyWater 置於年度威脅評級中的第三位。 同時,有人(大概是 MuddyWater 組織)向 YouTube 上傳了一個可停用 LK 防毒軟體的漏洞利用 PoC。 他們還在文章下留下了評論。
禁用卡巴斯基實驗室防毒軟體的影片截圖和評論如下:
對於「尼瑪尼克喬」的參與,目前還很難做出明確的結論。 Group-IB 專家正在考慮兩個版本。 Nima Nikjoo 確實可能是 MuddyWater 組織的駭客,由於他的疏忽和網路活動的增加而被曝光。 第二種選擇是,他是被該團體的其他成員故意“揭發”,以轉移對自己的懷疑。 無論如何,Group-IB都會繼續研究,並且一定會報告結果。
至於伊朗的APT,在一系列的洩密和洩密之後,他們很可能會面臨一次嚴重的「報告」——駭客將被迫認真更換工具、清理蹤跡、尋找隊伍中可能的「內姦」。 專家們不排除甚至會暫停,但短暫休息後,伊朗APT攻擊再次繼續。
來源: www.habr.com