关于伊朗黑客组织污水的相关成员追溯分析报告

释放双眼,带上耳机,听听看~!

日活最高的疑似来自伊朗国家背景的黑客组织污水(MuddyWater)近日连连被曝光攻击行动,除了其样本并不复杂外,更重要的是该组织的行动往往结合时事政治,及时更新诱饵投放,因此导致样本众多,顺便推动了安全分析行业的发展。

当然,涉及国家背景的网络攻击背后,必定涉及国家矛盾,而有矛盾的地方必定有斗争。

近日,国外安全厂商和研究人员发布了两篇博客,针对污水(MuddyWater)近期攻击事件和背后的攻击者进行了分析,下面黑鸟将其整理外加增添一二,留给各位看客查阅。


MuddyWater是一个自2017年以来一直由某中东国家运营的攻击组织。从2019年2月到4月,黑客发起了一系列针对土耳其,伊朗,阿富汗,伊拉克,塔吉克斯坦和阿塞拜疆的政府,教育组织,金融,电信和国防公司的网络钓鱼电子邮件。

团队成员使用他们命名为POWERSTATS的PowerShell后门,功能如下:

收集本地和域帐户,可用文件服务器,内部和外部IP地址,操作系统名称和体系结构的数据;执行远程代码执行;通过C&C上传和下载文件;确定是否存在用于分析恶意文件的调试程序;如果找到分析恶意文件的程序,则禁用系统;从本地驱动器中删除文件;截图;禁用Microsoft Office产品安全措施。

而这组织曾有个著名特色,在回连包中含有一句话,声称要杀死研究人员


需要注意的是,这个组织攻击者犯过一个错误,来自ReaQta的研究人员设法获得了最终的IP地址,该地址位于德黑兰。也因此暴露了该组织具有很高可能性来自伊朗。


由于攻击活动基本为宏+powershell后门,并且宏代码大同小异,因此不对样本进行重复分析,网上报告随便一搜便是。


下面直接进入大众喜闻乐见的章节


早些时候,在2019年3月,一个Windows用户昵称为Gladiyator_CRK创建了恶意文档。这些文件还分发了POWERSTATS后门,并连接到一个名为gladiyator.Tk的C&C服务器。
Gladiator_CRK.doc

09aabd2613d339d90ddbd4b7c09195a9

也许这是在Nima Nikjoo的用户于2019年3月14日在Twitter上发布之后完成的,他正试图解码与MuddyWater相关的混淆代码。在对这条推文的评论中,一位研究人员表示他无法分享这种恶意程序妥协的指标,因为这些信息是保密的。不幸的是,该记录已被删除,但其痕迹仍保留在网络上:

Nima Nikjoo是伊朗视频托管网站dideo.ir和videoi.ir上,用户名为Gladiyator_CRK的所有者。在这个网站上,他演示了PoC漏洞,用于禁用来自不同安全厂商商的反病毒工具并绕过沙箱。Nima Nikjoo声称自己是网络安全方面的专家,以及在伊朗电信公司MTN Irancell工作的逆向工程师和恶意软件分析师。

Google搜索结果中已保存视频的屏幕截图:


而当时,卡巴在发完关于muddywater的分析报告后,该团伙在其文章下面回复了评论,认为他们才是最活跃的APT组织,并因此还发了一段绕过卡巴杀毒软件的POC视频到youtube以便嘲讽。


然而,就是这一记猛锤,从而暴露了马脚。在这评论中,出现了一个熟悉的名字。(现在评论已经被其删除)


很明显,对于一个常年绕过杀软并会在muddywater这个作品下面留言的人,可疑度大大增强。

除此之外,从0xffff0800的博客看来,在翻译俄语用户名的意思后,确实出现的是gladiator的意思,也就是说和他的用户名对的上

而在muddywater生成嵌入powershell的宏的python代码中,存在两个hash值

解码后刚好对应名称

dd239423ce826bfb1a26478ad205cfe9 gladiator_crd

e495a76dc36655e87d0e855af3966f40 nima.n


并且,在其博客还提到了他拿到的卡巴的POC中,名称为NNT

而Nima自己的网站@ https://www.vsec.ir

域名持有人名称为:Nima NikjooyeTabrizi

Nima Nikjoo Tabrizi => NNT

刚刚好


后来,在2019年3月19日,Twitter用户Nima Nikjoo将他的昵称改为恶意软件战斗机,并删除了相关的帖子和评论。

dideo.ir视频托管上的Gladiyator_CRK个人资料也被删除,就像在YouTube上一样,个人资料本身也被重命名为N Tabrizi。

然而,在将近一个月(2019年4月16日)之后,Twitter帐户又开始使用名称Nima Nikjoo。

在研究期间,Group-IB专家发现Nima Nikjoo已被提及与网络犯罪活动有关。

2014年8月,伊朗Khabarestan博客发布了有关伊朗纳斯尔研究所网络犯罪组织相关人员的信息。FireEye的一项研究表明,Nasr Institute是APT33的承包商,并且还参与了2011年至2013年美国银行的DDoS攻击,这是一项名为Operation Ababil的活动的一部分。

因此,在同一个博客中,Nima Nikju-Nikjoo正在开发恶意软件以监视伊朗人,他的电子邮件地址gladiyator_cracker @ yahoo.Com被提及。

来自伊朗纳斯尔研究所的网络犯罪分子的数据截图:

Nima Nikjoo -开发间谍软件-电子邮箱

从这些信息可以看出,电子邮件地址与攻击中使用的地址以及用户Gladiyator_CRK和Nima Nikjoo相关联。

此外,2017年6月15日的一篇文章指出,Nikjoo有点粗心,在简历中发布了与Kavosh安全中心的链接。人们相信,组织Kavosh安全中心得到了伊朗国家的支持,以资助亲政府的黑客。

有关Nima Nikjoo工作的公司的信息:



在LinkedIn的个人资料中,来自Twitter Nima Nikjoo的第一份工作的用户是Kavosh安全中心,他在2006年至2014年期间工作。在他的工作期间,他研究了各种恶意程序,并处理了与反向和混淆相关的工作。

Nedi Nikjoo在LinkedIn上的公司信息:

而这个兄弟的行为,从他关注了4千多名安全研究员来看,比较符合MuddyWater组织的行为:专心监控信息安全专家发布的有关它们的所有报告,甚至故意留下其他组织的代码特征,以便混淆研究人员分析。例如,他们的第一次攻击误导了专家,因为发现他们使用了FIN7通常使用的DNS Messenger。并且在其他攻击中,他们还将中文行插入代码中。


而自从0xffff0800发布了这篇博客,并转发到twitter后,Nima在其twitter下面回复了几条,按意思来看,似乎已经默认了自己与muddywater组织有关。

参考链接:

https://habr.com/ru/company/group-ib/blog/452540/

https://0xffff0800.blogspot.com/2019/06/a-muddywater-cyber-spy.html

https://twitter.com/blackorbird/status/1070159191057133569

看完文章,觉得思路还可以,但是感觉出现的东西,有点太刻意,可能是第六感。

最后,友情提醒一句,在网上看到的一切,是不小心暴露,还是故意让你看见,这都需要斟酌,有很多东西会被有意者故意放出去,不为啥,只为钓鱼(我是无意放出去的别瞎想),所以对于这位被曝光的同学,可能一开始就打着日后必定暴露身份去和各国的安全分析研究人员交流的吧。

老规矩,还未关注本公众号的,关注后在菜单栏回复

“MuddyWater”或“污水”或“muddywater”,即可各类信息获取下载链接

已经关注本公众号的请看github即可


感谢关注转发点赞

转载请注明来源,谢谢


按照惯例,实际上在文末才是重中之重。

这个↓,当初我就强调过他的重要性。

邮件传输代理Exim远程命令执行漏洞细节披露,影响全球近一半邮件服务器

现在你可以去试试看了,这个的利用条件有点苛刻,坐等稳定版本

当然,你可以选择扫码加入每日更新的知识星球即有各种无水印情报原价299,现价269

最后,还是想嘲讽一下。请问这充分说明了什么。

说明了你该点赞了↓

本文源自微信公众号:黑鸟

人已赞赏
安全工具

Turla组织近期活动,更新武器库

2019-10-16 10:39:53

安全工具

要不要试试 FBI 出品的健身APP,绝对不收集信息

2019-10-16 10:40:00

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索