伊朗亲政府的黑客有很大的问题。 整个春季,身份不明的人在Telegram上发布了“秘密李子”-有关与伊朗政府相关的APT团体的信息
-OilRig和
MuddyWater-他们的工具,受害者,联系方式。 但不是所有人。 4月,IB集团专家在土耳其公司ASELSANA.Ş的邮政地址中发现了一个漏洞,该公司为土耳其武装部队生产战术军事广播电台和电子防御系统。 Group-IB复杂威胁研究小组负责人
Anastasia Tikhonova和Group-IB的初级分析师
Nikita Rostovtsev描述了对ASELSANA.Ş袭击的过程,并发现了
MuddyWater的可能成员。
电报曝光
伊朗APT组的“流失”始于某人Lab Dookhtegan
揭露了六种APT34工具(又名OilRig和HelixKitten)
的源代码,揭示了该操作涉及的IP地址和域,以及有关66位黑客受害者的数据。阿提哈德航空公司和阿联酋国家石油公司。 Dookhtegan实验室还“泄露”了该组织过去的运营数据以及有关伊朗情报和国家安全部员工的信息,据称这些信息与该组织的运营有关。 OilRig是与伊朗有关的APT组织,成立于2014年,主要针对政府,金融和军事组织以及中东和中国的能源和电信公司。
OilRig暴露后,“李子”继续存在-在暗网和Telegram上,出现了有关伊朗另一个亲政府组织MuddyWater的活动的信息。 但是,与第一次泄漏不同,这次不是发布源代码,而是发布转储,包括源代码,控制服务器的屏幕快照以及过去的黑客受害者的IP地址。 这次,Green Leakers黑客声称对MuddyWater泄漏负责。 他们拥有多个Telegram频道和Darknet网站,在这些网站上广告和出售与MuddyWater操作有关的数据。
与中东的网络间谍
MuddyWater是一家自2017年以来在中东国家运营的集团。 例如,正如IB集团专家指出的那样,在2019年2月至2019年4月之间,黑客针对土耳其,伊朗,阿富汗,伊拉克和阿塞拜疆的政府,教育组织,金融,电信和国防公司进行了一系列网络钓鱼邮件。
组成员使用基于PowerShell的专有后门,称为
POWERSTATS 。 他可以:
- 收集有关本地和域帐户,可访问文件服务器,内部和外部IP地址,操作系统名称和体系结构的数据;
- 执行远程代码执行;
- 通过C&C下载和上传文件;
- 检测用于分析恶意文件的调试程序的存在;
- 如果找到恶意软件分析程序,则禁用系统;
- 从本地驱动器删除文件;
- 截屏;
- 禁用Microsoft Office产品的保护措施。
在某个时候,攻击者犯了一个错误,来自ReaQta的研究人员设法获得了位于德黑兰的最终IP地址。 考虑到该组织攻击的目标及其与网络间谍活动有关的任务,专家建议该组织代表伊朗政府的利益。
攻击指标C&C:- Gladiyator [。] tk
- 94.23.148 [。] 194
- 192.95.21 [。] 28
- 46.105.84 [。] 146
- 185.162.235 [。] 182
档案:- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
土耳其持枪
2019年4月10日,IB集团专家在土耳其最大的军用电子公司土耳其公司ASELSANA.Ş的邮寄地址中发现泄漏。 其产品包括雷达和电子设备,光学,航空电子,无人系统,地面,海军和武器系统以及防空系统。
IB研究小组研究了POWERSTATS恶意软件的新样本之一,发现攻击者MuddyWater使用制造信息和防御技术解决方案的公司KoçSavunma与信息安全和研究中心Tubitak Bilgem之间的许可协议作为诱饵文件。技术先进。 Koh Savunma的联络人是Tahir TanerTımış,他曾是KoçBilgi ve Savunma TeknolojileriA.Ş的项目经理。 从2013年9月到2018年12月。 后来他开始在ASELSANA.Ş工作。
用户激活恶意宏后,会将POWERSTATS后门下载到受害者的计算机。
感谢此诱饵文档的元数据(MD5:
0638adf8fb4095d60fbef190a759aa9e ),研究人员得以找到三个包含相同值的其他示例,包括创建日期和时间,用户名和包含的宏列表:
- ListOfHackedEmails.doc( eed599981c097944fa143e7d7f7e17b1 )
- asd.doc( 21aebece73549b3c4355a6060df410e9 )
- F35-Specifications.doc( 5c6148619abb10bb3789dcfb32f759a6 )
找到的一个名为
ListOfHackedEmails.doc的文档包含34个属于
@ aselsan.com.tr域的电子邮件地址的列表。
IB集团的专家检查了邮件地址中是否存在公共领域的泄漏,发现其中28个受到先前发现的泄漏的危害。 检查可用泄漏的混合情况,发现与该域相关的大约400个唯一登录名和密码。 攻击者可能已使用此数据通过开放访问来攻击ASELSANA.Ş。
ListOfHackedEmails.doc的屏幕截图 公开泄漏中检测到的450多个登录密码对的列表的屏幕截图 在发现的样本中,还有一个名为
F35-Specifications.doc的文档,指的是F-35战斗机。 诱饵文件是F-35多功能战斗轰炸机的规格,指明了飞机的特性和价格。 该诱饵文件的主题直接与土耳其购买S-400系统后美国拒绝提供F-35以及威胁将F-35 Lightning II的信息转移给俄罗斯有关。
所有获得的数据表明,MuddyWater网络攻击的主要目标是位于土耳其的组织。
谁是Gladiyator_CRK和Nima Nikjoo?
早在2019年3月,发现了一个Windows用户以昵称Gladiyator_CRK创建的恶意文档。 这些文档还分发了POWERSTATS后门,并以类似的名称
Gladiyator [。] Tk连接到C&C服务器。
也许是在Nima Nikjoo在2019年3月14日在Twitter上发布帖子后完成的,在那篇文章中他试图对与MuddyWater相关的混淆代码进行解码。 在对这条推文的评论中,研究人员表示,由于此信息是机密信息,因此他无法共享此恶意程序受到破坏的指标。 不幸的是,该记录已被删除,但其踪迹仍保留在网络上:
Nima Nikjoo是伊朗视频托管网站dideo.ir和videoi.ir上Gladiyator_CRK配置文件的所有者。 在此站点上,他演示了PoC漏洞利用,可以禁用各种供应商的防病毒工具并绕过沙箱。 尼玛·尼克乔(Nima Nikjoo)自言自语地说,他是网络安全方面的专家,并且是为伊朗电信公司MTN Irancell工作的反向工程师和恶意软件分析师。
在Google搜索结果中保存的视频的屏幕截图:
后来,在2019年3月19日,社交网络Twitter上的用户Nima Nikjoo将其昵称更改为Malware Fighter,并删除了相关帖子和评论。 视频托管dideo.ir上的Gladiyator_CRK配置文件也被删除了,就像在YouTube上一样,该配置文件本身也被重命名为N Tabrizi。 但是,在将近一个月(2019年4月16日)之后,Twitter帐户再次开始使用Nima Nikjoo这个名称。
在研究过程中,IB组专家发现与网络犯罪有关的人已提到Nima Nikjoo。 2014年8月,伊朗Khabarestan的博客发布了有关与伊朗Nasr研究所网络犯罪组织有联系的个人的信息。 FireEye的一项研究表明,纳斯尔研究所是APT33的承包商,并且在2011年至2013年期间参与了名为“阿巴比尔行动”的活动,对美国银行进行DDoS攻击。
因此,在同一博客中提到了Nima Nikju-Nikjoo,他参与了开发可监视伊朗人的恶意软件,并发送了电子邮件地址:gladiyator_cracker @ yahoo [。] Com。
伊朗Nasr研究所的与网络犯罪分子有关的数据的屏幕截图:
突出显示的内容翻译成俄语:
Nima Nikio-间谍软件开发人员-电子邮件地址:。从此信息中可以看到,电子邮件地址与攻击中使用的地址以及Gladiyator_CRK和Nima Nikjoo的用户相关联。
此外,2017年6月15日的一篇文章指出,Nikjoo在履历表中张贴指向Kavosh Security Center的链接似乎有些粗心。 据
信 ,卡沃什安全中心得到了伊朗政府的支持,以资助亲政府黑客。
有关Nima Nikjoo的公司的信息:
Twitter用户Nima Nikjoo在LinkedIn上的用户个人资料中,将Kavosh Security Center确定为他的第一份工作,他在2006年至2014年期间工作。 在工作期间,他研究了各种恶意程序,还处理了反向处理和与混淆有关的工作。
关于Nima Nikjoo在LinkedIn上工作的公司的信息:
浑水和自尊心高
令人好奇的是,MuddyWater小组会仔细监视所有报告以及信息安全专家发布的报告,甚至特意先留下虚假标志,以使研究人员脱颖而出。 例如,他们的第一次攻击误导了专家,因为他们发现了DNS Messenger的使用,通常与FIN7组相关联。 在其他攻击中,他们在代码中插入了中文字符串。
此外,该小组非常喜欢将消息留给研究人员。 例如,他们不喜欢卡巴斯基实验室在其年度威胁排名中将MuddyWater排在第三位这一事实。 当时,有人(大概是MuddyWater小组)向YouTube上传了一个漏洞,该漏洞关闭了YouTube上的LK防病毒软件。 他们在文章下发表了评论。
有关禁用卡巴斯基实验室防病毒软件的视频的屏幕截图及其下方的评论:
很难就尼玛·尼久(Nima Nikjoo)的参与做出明确的结论。 IB组专家正在考虑两个版本。 Nima Nikjoo确实可能是MuddyWater小组的一名黑客,由于他的粗心和网络活动的增加而出现。 第二种选择-该小组的其他成员特别“关注”了它,以免引起怀疑。 无论如何,IB集团都会继续进行研究,并且一定会报告其结果。
至于伊朗的APT,在经历了一系列的泄密和漏水之后,它们很可能会面临严重的“汇报”-黑客将被迫认真更换工具,清理赛道并在队伍中发现可能的黑痣。 专家们并没有排除他们甚至会超时的情况,但是短暂休息之后,伊朗APT的袭击再次继续。
IB集团对网络犯罪一无所知,但却讲述了最有趣的事情。
充满动感的电报频道(https://t.me/Group_IB),涉及信息安全,黑客和网络攻击,黑客主义者和互联网海盗。 逐步调查轰动性网络犯罪,使用Group-IB技术的实际案例,当然,还提供有关如何避免成为Internet受害者的建议。
Instagram上的Group-IB Photowire
网站www.instagram.com/group_ibTwitter短消息twitter.com/GroupIB
Group-IB是总部位于新加坡的网络中用于检测和预防网络攻击,检测欺诈和保护知识产权的解决方案的领先开发商之一。