ETİKET : Gelişmiş Sürdürülebilir Saldırı, APT, MuddyWater, İran, Irak, Telekom, KorekTelecom, POWERSTATS
TLP : Beyaz (Sınırsız kullanım ve yönlendirme)
tarih : 2019-03-21
özet
Orta Doğu, APT saldırıları için her zaman yüksek riskli bir bölge olmuştur ve İran kökenli olduğundan şüphelenilen APT örgütleri özellikle aktiftir. MuddyWater'ın İran'dan bir hacker organizasyonu olduğundan şüpheleniliyor. Organizasyon Eylül 2017'den bu yana faaliyet gösteriyor ve ağırlıklı olarak Orta Doğu'daki hükümetleri, telekomünikasyon ve enerji şirketlerini hedef alıyor.
Son zamanlarda, mikro adım çevrimiçi avcılık sistemi, MuddyWater tarafından düzenlenen birden fazla saldırıyı yakaladı ve analizden sonra, şu bulundu:
Mart 2019'un ortalarında Orta Doğu, MuddyWater tarafından tekrar saldırıya uğradı ve kurbanlar arasında Iraklı telekomünikasyon şirketi KorekTelecom da vardı.
Saldırgan, giriş olarak hedef kimlik avı e-postalarını kullanır ve dosya indirme ve komut çalıştırma gibi işlevlere sahip PowerShell tabanlı POWERSTATS arka kapısını sağlamak için taşıyıcı olarak kötü amaçlı makrolar içeren DOC dosyalarını kullanır.
İlgili örneklerin, IP'nin ve alan adlarının izlenebilirlik analizi sayesinde Weibu Online, tehdit istihbaratı tespiti için kullanılabilecek 4 ilgili IOC'yi çıkarır. Weibu Online'ın tehdit istihbarat platformu (TIP), tehdit algılama platformu (TDP), API vb. Tümü bu saldırının ve grubun tespitini destekledi.
Detaylar
Hacker profiline ve avlanma sistemine dayalı olarak Weibu Online, dünya çapında 150'den fazla hacker kuruluşunun sürekli olarak izlenmesini gerçekleştirdi. Son zamanlarda, Weibu çevrimiçi avcılık sistemi MuddyWater tarafından düzenlenen birçok saldırıyı yakaladı. MuddyWater'ın İran kökenli olduğundan şüpheleniliyor.Kuruluş saldırılar için komut dosyası tabanlı arka kapılar kullanmayı tercih ediyor ve açıklandığı günden bu yana yüksek düzeyde faaliyet sürdürüyor.
Faaliyet 1: Irak'ta Korek Telekom'a Saldırılar
E-postanın hem göndereni hem de alıcısı, şirket çalışanlarının posta kutularıdır ve posta sunucusu IP'si şirketin intranetinin IP'sidir.Saldırganın, şirket çalışanlarının bilgisayarlarını kimlik avı e-postaları göndermek için tehlikeye atmış olabileceği tahmin edilmektedir. İlgili e-postalar aşağıdaki gibidir:
E-posta eki, Missan dashboard.doc ve Missan Dashbord..xlsx olmak üzere iki dosya içeren sıkıştırılmış bir RAR paketidir. Missan Dashbord..xlsx normal bir XLSX belgesidir ve kötü amaçlı kod içermez ve Missan dashboard.doc, kötü amaçlı makrolar içeren bir dosyadır. DOC belgesi. Missan dashboard.doc'un açılış arayüzü aşağıdaki şekilde gösterildiği gibidir: Makroları indüklemek için bulanık bir resim kullanmak, MuddyWater'ın yaygın bir yöntemidir.
Missan Dashbord..xlsx arayüzü aşağıdaki şekilde gösterildiği gibi açar Belgede yer alan Takım Liderinin adı, e-postadaki bir çalışan CC'si ile aynıdır.
Etkinlik 2: Gladiator_CRK.doc yem belgesinin açılış arayüzü aşağıdaki gibidir
Etkinlik 3: Önemli Report.doc belgesinin açılış arayüzü aşağıdaki gibidir
Örnek analiz
Missan dashboard.doc örneğini analize örnek alalım Örneklemin temel bilgileri aşağıdaki gibidir:
SHA25693b749082651d7fc0b3caa9df81bad7617b3bd4475de58acfe953dfafc7b3987SHA1b0ab6ce3d044a1339a705f233e113c44a1bced10MD5806adc79e7ea.dbced10MD5806adc79e7ea3be50ef1d3974a
Makro etkinleştirildikten sonra, Document_Open işlevi çağrılır ve ardından test işlevi çağrılır.Makro kodu aşağıdaki gibidir:
Test işlevi, örnekteki Macros / UserForm1 / o'daki kodu çağıracaktır:
Makrolar / UserForm1 / o'daki kod, sonunda iki dosyayı "c: \ windows \ temp \ picture.jpg" ve "c: \ windows \ temp \ icon.ico" klasörlerine yayınlayacaktır; burada picture.jpg, Base64 kodlamasından sonra saklanır. PowerShell arka kapı betiği ve "HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ UpdateService" başlangıç anahtarında, picture.jpg kodunu çözen ve çağıran bir PowerShell betiği yazın.
PowerShell arka kapısı "picture.jpg" analizi
PowerShell betiği, gerçek işlevini gizlemek için birden çok gizleme katmanı kullanır.PowerShell betiğinin içeriğini gizledikten sonra, kodda şifreleme için kullanılan bazı sabitler ve C2 aşağıdaki gibidir:
PowerShell kodu önce sistemle ilgili bilgileri (IP adresi, sistem sürümü, ana bilgisayar adı, genel IP vb.) Alır:
Ardından dizenin karma değerini hesaplayın ve sistem bilgisi dizesini "**" ile bağlayın, kod aşağıdaki gibidir:
Sistem bilgilerini şifrelemek için "$ cevingr = 959, 713" anahtarını kullanın, ilgili şifreleme algoritması aşağıdaki gibidir:
Şifreleme tamamlandıktan sonra GZIP tarafından sıkıştırılır ve POST isteği çevrimiçi olması için C2 sunucusuna gönderilir ve çevrimiçi paket, sunucu "tamamlandı" dizesini döndürene kadar döngüsel olarak gönderilir. İlgili kod parametreleri aşağıdaki şekilde gösterildiği gibidir:
Çevrimiçi olduktan sonra, komut dosyası önceden elde edilen sistem bilgilerine göre hesaplanan karmayı döngüsel olarak C2 sunucusuna gönderir ve komut yürütmesini C2 sunucusundan alır. Ekran görüntüsü aşağıdaki gibidir:
Komut başarılı bir şekilde elde edilirse, komutu bölmek için "~~ !! ~~" öğesini kullanın. Arka kapı, üç komut formatını destekler, yani "karşıya yükle", "cmd" ve "b64". "Yükleme" komutu, Dosyaları uzaktan indirmek için, "cmd" komutu "cmd / c" komutunu çalıştıracak ve "b64", sunucudan Base64 kodlu komutu alacak ve kodu çözüldükten sonra onu çalıştıracaktır. Kod aşağıdaki gibidir:
XX ~~ !! ~~ yükleme komut formatı, burada XX sunucu tarafından gönderilen bir dizedir, komut parametreleri yüklemenin sonuna eklenir ve URL, ayrıştırma sırasında yükleme dizesi aracılığıyla korunur. Diğer komutların biçimi aynıdır:
Komut işlevi XX ~~ !! ~~ yükleme, dosyaların uzaktan indirilmesini gerçekleştirir, pwd'yi çalıştırır ve C2 sunucusuna geri döner XX ~~ !! ~~ cmd, / c parametresi XX ~~ !! ~~ b64, Base64 kodlu PowerShell'i çalıştırır C2 sunucusuna komut verin ve geri dönün
Korelasyon analizi
Üç sahte belge sonunda, MuddyWater'a ait olan PowerShell'in POWERSTATS arka kapısına dayanan aynı arka kapıyı serbest bıraktı. Bu saldırı ile ilgili TTP'ler ile birleştirildiğinde arkasındaki saldırganın MuddyWater olduğu belirlenir.
Daha önce açıklanan POWERSTATS arka kapısıyla karşılaştırıldığında, son olarak teslim edilen PowerShell arka kapısı aynı şifreleme algoritması yapısına, aynı şifreleme anahtarına ve aynı sistem bilgisi bağlantı dizesine sahiptir. İlgili karşılaştırma aşağıdaki gibidir:
Ek ve IOC
https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=1288
Referans bağlantısı
https://www.fireeye.com/blog/threat-research/2018/03/iranian-threat-group-updates-ttps-in-spear-phishing-campaign.html
https://www.freebuf.com/articles/web/165061.html
* Yazar: Threatbook, FreeBuf.COM'dan yeniden basılmıştır.