İran Siber Casusluk Araçlarının Kaynak Kodu Telegram Üzerinden Yayınlandı

İran İstihbarat Bakanlığı ile ilgili bilgiler Telegram üzerinden sızdırıldı. Sızıntı 26 Mart’ta, Telegram’da araçların kaynak kodlarını içeren arşivin yayınlanmasıyla başladı. İlk sızıntı düşük kapsamlı olduğu ve sızıntının yeni olmasından dolayı Telegram grubu sadece yaklaşık 30 üyeye sahipti. Shadow Brokers sızıntısını anımsatan olayda sızdırılan araçlar Mart ayının ortasından bu yana, Lab Dookhtegan takma adını kullanan bir kişi tarafından sızdırıldı. Hack araçlarının yanı sıra, APT34’ün saldırıya uğrayan bazı mağdurlarının verileri gibi görünen, çoğunlukla kullanıcı adı ve şifre kombinasyonlarından oluşan veriler de yayınlandı.

Yayınlanan Araçlar:

  • Glimpse (Palo Alto Networks’ün BONDUPDATER adını verdiği PowerShell tabanlı bir yeni bir sürümü)
  • PoisonFrog (BONDUPDATER’ın eski sürümü)
  • HyperShell (Palo Alto Networks’ün TwoFace adını verdiği Web Shell’i)
  • HighShell (başka bir web kabuğu)
  • Fox Panel (kimlik avı seti)
  • Webmask (OilRig’s DNS Tunneling ve DNSpionage’in arkasındaki ana araç)

Yukarıdaki araçlar için kaynak kodunun yanı sıra, Dookhtegan, APT34’ün bazı arka uç komut ve kontrol (C&C) sunucularında toplanan kurbanlardan alınan Telegram kanal verilerini de kanalda yayınladı. Chronicle’a göre toplamda başta Orta Doğu’daki ülkeler çoğunlukta olmak üzere Afrika, Doğu Asya ve Avrupa’dan da dahil 66 ülkenin verileri sızdırıldı. Devlet, Telekom, Ulaşım, Askeri, Eğitim, Enerji gibi bir çok sektörün özel veriler yayınlandı. Hacklendiği bilinen Ülkeler ve ilgili sektörler aşağıdaki listede mevcuttur.

Albania  Government 
Albania  Government 
Bahrain  Transportation 
Bahrain  Telcom 
Cambodia  Government 
China  Energy 
China  Energy 
China  Energy 
China  Financial 
China  Financial 
China  Gaming 
China  High-Tech 
China  Insurance 
China  Media 
China  Telecom 
China  Transportation 
Egypt  Government 
Israel  Education 
Jordan  Government 
Jordan  Military 
Jordan  Telecom 
Kazakhstan  Government 
Kuwait  Government 
Kuwait   
Lebanon  Education 
Lebanon  Telecom 
Macau  Education 
Macau  High Tech 
Mexico  Government 
Myanmar  Government 
Nigeria  Government 
Oman  Government 
Palestine  Financial 
Qatar  Government 
Samoa  Financial 
Saudi Arabia  Aerospace 
Saudi Arabia  Construction/Insurance/Financial 
Saudi Arabia  Education 
Saudi Arabia  Government 
Saudi Arabia  Government/ Finance 
Saudi Arabia  GovernmentTelecom 
Saudi Arabia  Government/Education 
Saudi Arabia  High Tech 
Saudi Arabia  Insurance 
Saudi Arabia  Medical 
Saudi Arabia  Transportation 
South Korea  Gaming 
Taiwan  Energy 
Taiwan  Telecom 
Thailand  Military 
Turkey  Energy 
Turkey  Energy / Construction 
Turkey  Government 
UAE  Finance 
UAE  Government 
UAE  Government 
UAE  Government 
UAE  Government 
UAE  Government 
UAE  Government 
UAE  Government / Medical 
UAE  High-Tech 
UAE  Insurance 
UAE  Transportation 
UAE  Finance 
Zimbabwe  Telecom 

Bunların yanında geçmiş operasyonlarla ilgili verilerin dışında, kaçakçı ayrıca İran İstihbarat Bakanlığı memurlarına, telefon numaraları, resimler ve APT34 operasyonlarına dahil olan memurların isimlerini de sızdırdı.

Ilk sızıntı “Poison Frog” olarak adlandırılmıştır. Bu sızıntı 2 bölümden oluşmaktadır.

  • Node.js’de yapılan c2 olan bir sunucu tarafı modülü
  • Powershell’deki veri yükü olan bir payload kısmı.

Payload, powershell ile yüklenen 2 büyük base64 parçası içerir. Payload belirli bir ve adresinden bir konfigürasyon dosyası almakta ve C: \ Users \ Public \ Public dizini içinde klasörler oluşturmaktadır. Ayrıca diğer 2 payloadı de dizine bırakmaktadır. Dosyaları klasöre ekledikten sonra 2 zamanlanmış görev oluşturmaktadır. Bunlardan biri yönetici, diğeri normal bir kullanıcı var içindir. Bu zamanlanmış görevler iki bırakılan powershell betiğini çalıştıracak böylece her 10 dakikada bir dUpdater.ps1 ve hUpdater.ps. Dosyaları çalışacaktır.

Aynı zamanda hedef sisteme yüklenen zararlı dosyalar virüstotal ile kontrol edildiğinde sadece 2 sistem tarafından zararlı olduğu görülmektedir.

apt34

Sızıntının büyük bir kısmı, ASP Web shell “HighShell” ve “HyperShell” olarak bilinen kısımlarındadır. Hala açık kalan ASP web shelleri bulunmaktadır. Sonuç olarak her NT tabanlı işletim sisteminde saldırgan istemciyi NTLM kullanarak saldırganın makinesinde kimlik doğrulaması yapmaya zorlayabilir ve bir MitM saldırısı gerçekleştirebilir.

İkinci bölüm, javascript dnsd.js. Javascript versiyonuna sahip dns.py’dir.

APT34, DNS Hijacking saldırılarıyla bilindiği için bizleri şaşırtmayan bir DNS korsanının olduğu görülüyor. UDP bağlantı noktası 53 üzerinde çalışmaktadır ve bir istek aldığında, etki alanının konfigürasyon dosyasında olup olmadığını kontrol etmekte ve saldırganın ayarladığı IP ile yanıtı geçersiz kılmaktadır. Yani temelde bu, saldırgana bu DNS’i kullanan kurbanları kendi zararlı DNS sunucusuna yönlendirmektedir. Bu sızıntının diğer sızıntılardan farkı ise sadece kullanıcılardan çok sayıda özel anahtar ve kimlik bilgisi değil, aynı zamanda bazı etki alanları için DA (Etki Alanı Yöneticisi) kimlik bilgileri de içermesidir.

IOC:

C:\Users\Public\Public\atag[0-9]{4}[A-Z]{2}
C:\Users\Public\Public\dUpdater.ps1
C:\Users\Public\Public\hUpdated.ps1
C:\Users\Public\Public\UpdateTask.vbs
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Shells:

hxxps://202.183.235.31/owa/auth/signout.aspx
hxxps://202.183.235.4/owa/auth/signout.aspx
hxxps://122.146.71.136/owa/auth/error3.aspx
hxxps://59.124.43.229/owa/auth/error0.aspx
hxxps://202.134.62.169/owa/auth/signin.aspx
hxxps://202.164.27.206/owa/auth/signout.aspx
hxxps://213.14.218.51/owa/auth/logon.aspx
hxxps://88.255.182.69/owa/auth/getidtoken.aspx
hxxps://95.0.139.4/owa/auth/logon.aspx
hxxps://1.202.179.13/owa/auth/error1.aspx
hxxps://1.202.179.14/owa/auth/error1.aspx
hxxps://114.255.190.1/owa/auth/error1.aspx
hxxps://180.166.27.217/owa/auth/error3.aspx
hxxps://180.169.13.230/owa/auth/error1.aspx
hxxps://210.22.172.26/owa/auth/error1.aspx
hxxps://221.5.148.230/owa/auth/outlook.aspx
hxxps://222.178.70.8/owa/auth/outlook.aspx
hxxps://222.66.8.76/owa/auth/error1.aspx
hxxps://58.210.216.113/owa/auth/error1.aspx
hxxps://60.247.31.237/owa/auth/error3.aspx
hxxps://60.247.31.237/owa/auth/logoff.aspx
hxxps://202.104.127.218/owa/auth/error1.aspx
hxxps://202.104.127.218/owa/auth/exppw.aspx
hxxps://132.68.32.165/owa/auth/logout.aspx
hxxps://132.68.32.165/owa/auth/signout.aspx
hxxps://209.88.89.35/owa/auth/logout.aspx
hxxps://114.198.235.22/owa/auth/login.aspx
hxxps://114.198.237.3/owa/auth/login.aspx
hxxps://185.10.115.199/owa/auth/logout.aspx
hxxps://195.88.204.17/owa/auth/logout.aspx
hxxps://46.235.95.125/owa/auth/signin.aspx
hxxps://51.211.184.170/owa/auth/owaauth.aspx
hxxps://91.195.89.155/owa/auth/signin.aspx
hxxps://82.178.124.59/owa/auth/gettokenid.aspx
hxxps://83.244.91.132/owa/auth/logon.aspx
hxxps://195.12.113.50/owa/auth/error3.aspx
hxxps://78.100.87.199/owa/auth/logon.aspx
hxxps://110.74.202.90/owa/auth/errorff.aspx
hxxps://211.238.138.68/owa/auth/error1.aspx
hxxps://168.63.221.220/owa/auth/error3.aspx
hxZps://213.189.82.221/owa/auth/errorff.aspx
hxxps://205.177.180.161/owa/auth/erroref.aspx
hxxps://77.42.251.125/owa/auth/logout.aspx
hxxps://202.175.114.11/owa/auth/error1.aspx
hxxps://202.175.31.141/owa/auth/error3.aspx
hxxps://213.131.83.73/owa/auth/error4.aspx
hxxps://187.174.201.179/owa/auth/error1.aspx
hxxps://200.33.162.13/owa/auth/error3.aspx
hxxps://202.70.34.68/owa/auth/error0.aspx
hxxps://202.70.34.68/owa/auth/error1.aspx
hxxps://197.253.14.10/owa/auth/logout.aspx
hxxps://41.203.90.221/owa/auth/logout.aspx
hxxp://www.abudhabiairport.ae/english/resources.aspx
hxxps://mailkw.agility.com/owa/auth/RedirSuiteService.aspx
hxxp://www.ajfd.gov.ae/_layouts/workpage.aspx
hxxps://mail.alfuttaim.ae/owa/auth/change_password.aspx
hxxps://mail.alraidah.com.sa/owa/auth/GetLoginToken.aspx
hxxp://www.alraidah.com.sa/_layouts/WrkSetlan.aspx
hxxps://webmail.alsalam.aero/owa/auth/EventClass.aspx
hxxps://webmail.bix.bh/owa/auth/Timeoutctl.aspx
hxxps://webmail.bix.bh/owa/auth/EventClass.aspx
hxxps://webmail.bix.bh/ecp/auth/EventClass.aspx
hxxps://webmail.citc.gov.sa/owa/auth/timeout.aspx
hxxps://mail.cma.org.sa/owa/auth/signin.aspx
hxxps://mail.dallah-hospital.com/owa/auth/getidtokens.aspx
hxxps://webmail.dha.gov.ae/owa/auth/outlookservice.aspx
hxxps://webmail.dnrd.ae/owa/auth/getidtoken.aspx
hxxp://dnrd.ae:8080/_layouts/WrkStatLog.aspx
hxxps://www.dns.jo/statistic.aspx
hxxps://webmail.dsc.gov.ae/owa/auth/outlooklogonservice.aspx
hxxps://e-albania.al/dptaktkonstatim.aspx
hxxps://owa.e-albania.al/owa/auth/outlookdn.aspx
hxxps://webmail.eminsco.com/owa/auth/outlookfilles.aspx
hxxps://webmail.eminsco.com/owa/auth/OutlookCName.aspx
hxxps://webmail.emiratesid.ae/owa/auth/RedirSuiteService.aspx
hxxps://mailarchive.emiratesid.ae/EnterpriseVault/js/jquery.aspx
hxxps://webmail.emiratesid.ae/owa/auth/handlerservice.aspx
hxxp://staging.forus.jo/_layouts/explainedit.aspx
hxxps://government.ae/tax.aspx
hxxps://formerst.gulfair.com/GFSTMSSSPR/webform.aspx
hxxps://webmail.ictfund.gov.ae/owa/auth/owaauth.aspx
hxxps://jaf.mil.jo/ShowContents.aspx
hxxp://www.marubi.gov.al/aspx/viewpercthesaurus.aspx
hxxps://mail.mindware.ae/owa/auth/outlooktoken.aspx
hxxps://mail.mis.com.sa/owa/auth/Redirect.aspx
hxxps://webmail.moe.gov.sa/owa/auth/redireservice.aspx
hxxps://webmail.moe.gov.sa/owa/auth/redirectcache.aspx
hxxps://gis.moei.gov.ae/petrol.aspx
hxxps://gis.moenr.gov.ae/petrol.aspx
hxxps://m.murasalaty.moenr.gov.ae/signproces.aspx
hxxps://mail.mofa.gov.iq/owa/auth/RedirSuiteService.aspx
hxxp://ictinfo.moict.gov.jo/DI7Web/libraries/aspx/RegStructures.aspx
hxxp://www.mpwh.gov.jo/_layouts/CreateAdAccounts.aspx
hxxps://mail.mygov.ae/owa/auth/owalogin.aspx
hxxps://ksa.olayan.net/owa/auth/signin.aspx
hxxps://mail.omantourism.gov.om/owa/auth/GetTokenId.aspx
hxxps://email.omnix-group.com/owa/auth/signon.aspx
hxxps://mail.orange-jtg.jo/OWA/auth/signin.aspx
hxxp://fwx1.petra.gov.jo/SEDCOWebServer/global.aspx
hxxp://fwx1.petranews.gov.jo/SEDCOWebServer/content/rtl/QualityControl.aspx
hxxps://webmail.presflt.ae/owa/auth/logontimeout.aspx
hxxps://webmail.qchem.com/OWA/auth/RedirectCache.aspx
hxxps://meet.saudiairlines.com/ClientResourceHandler.aspx
hxxps://mail.soc.mil.ae/owa/auth/expirepw.aspx
hxxps://email.ssc.gov.jo/owa/auth/signin.aspx
hxxps://mail.sts.com.jo/owa/auth/signout.aspx
hxxp://www.sts.com.jo/_layouts/15/moveresults.aspx
hxxps://mail.tameen.ae/owa/auth/outlooklogon.aspx
hxxps://webmail.tra.gov.ae/owa/auth/outlookdn.aspx
hxxp://bulksms.umniah.com/gmgweb/MSGTypesValid.aspx
hxxps://evserver.umniah.com/index.aspx
hxxps://email.umniah.com/owa/auth/redirSuite.aspx
hxxps://webmail.gov.jo/owa/auth/getidtokens.aspx
hxxps://www.tra.gov.ae/signin.aspx
hxxps://www.zakatfund.gov.ae/zfp/web/tofollowup.aspx
hxxps://mail.zayed.org.ae/owa/auth/espw.aspx
hxxps://mail.primus.com.jo/owa/auth/getidtoken.aspx

Blog postu ile ilgili bir sorunuz varsa bizimle iletişime geçebilirsiniz.

Size nasıl yardımcı olalım?

İhtiyacınız olan her an Prisma danışmanları yanı başınızda. Bizimle 7/24 iletişime geçebilirsiniz.


    Sızma testi hizmetlerimizi incelediniz mi?