İran Siber Casusluk Araçlarının Kaynak Kodu Telegram Üzerinden Yayınlandı

İran İstihbarat Bakanlığı ile ilgili bilgiler Telegram üzerinden sızdırıldı. Sızıntı 26 Mart’ta, Telegram’da araçların kaynak kodlarını içeren arşivin yayınlanmasıyla başladı. İlk sızıntı düşük kapsamlı olduğu ve sızıntının yeni olmasından dolayı Telegram grubu sadece yaklaşık 30 üyeye sahipti. Shadow Brokers sızıntısını anımsatan olayda sızdırılan araçlar Mart ayının ortasından bu yana, Lab Dookhtegan takma adını kullanan bir kişi tarafından sızdırıldı. Hack araçlarının yanı sıra, APT34’ün saldırıya uğrayan bazı mağdurlarının verileri gibi görünen, çoğunlukla kullanıcı adı ve şifre kombinasyonlarından oluşan veriler de yayınlandı.

Yayınlanan Araçlar:

  • Glimpse (Palo Alto Networks’ün BONDUPDATER adını verdiği PowerShell tabanlı bir yeni bir sürümü)
  • PoisonFrog (BONDUPDATER’ın eski sürümü)
  • HyperShell (Palo Alto Networks’ün TwoFace adını verdiği Web Shell’i)
  • HighShell (başka bir web kabuğu)
  • Fox Panel (kimlik avı seti)
  • Webmask (OilRig’s DNS Tunneling ve DNSpionage’in arkasındaki ana araç)

Yukarıdaki araçlar için kaynak kodunun yanı sıra, Dookhtegan, APT34’ün bazı arka uç komut ve kontrol (C&C) sunucularında toplanan kurbanlardan alınan Telegram kanal verilerini de kanalda yayınladı. Chronicle’a göre toplamda başta Orta Doğu’daki ülkeler çoğunlukta olmak üzere Afrika, Doğu Asya ve Avrupa’dan da dahil 66 ülkenin verileri sızdırıldı. Devlet, Telekom, Ulaşım, Askeri, Eğitim, Enerji gibi bir çok sektörün özel veriler yayınlandı. Hacklendiği bilinen Ülkeler ve ilgili sektörler aşağıdaki listede mevcuttur.

Albania Government 
Albania Government 
Bahrain Transportation 
Bahrain Telcom 
Cambodia Government 
China Energy 
China Energy 
China Energy 
China Financial 
China Financial 
China Gaming 
China High-Tech 
China Insurance 
China Media 
China Telecom 
China Transportation 
Egypt Government 
Israel Education 
Jordan Government 
Jordan Military 
Jordan Telecom 
Kazakhstan Government 
Kuwait Government 
Kuwait  
Lebanon Education 
Lebanon Telecom 
Macau Education 
Macau High Tech 
Mexico Government 
Myanmar Government 
Nigeria Government 
Oman Government 
Palestine Financial 
Qatar Government 
Samoa Financial 
Saudi Arabia Aerospace 
Saudi Arabia Construction/Insurance/Financial 
Saudi Arabia Education 
Saudi Arabia Government 
Saudi Arabia Government/ Finance 
Saudi Arabia GovernmentTelecom 
Saudi Arabia Government/Education 
Saudi Arabia High Tech 
Saudi Arabia Insurance 
Saudi Arabia Medical 
Saudi Arabia Transportation 
South Korea Gaming 
Taiwan Energy 
Taiwan Telecom 
Thailand Military 
Turkey Energy 
Turkey Energy / Construction 
Turkey Government 
UAE Finance 
UAE Government 
UAE Government 
UAE Government 
UAE Government 
UAE Government 
UAE Government 
UAE Government / Medical 
UAE High-Tech 
UAE Insurance 
UAE Transportation 
UAE Finance 
Zimbabwe Telecom 

Bunların yanında geçmiş operasyonlarla ilgili verilerin dışında, kaçakçı ayrıca İran İstihbarat Bakanlığı memurlarına, telefon numaraları, resimler ve APT34 operasyonlarına dahil olan memurların isimlerini de sızdırdı.

Ilk sızıntı “Poison Frog” olarak adlandırılmıştır. Bu sızıntı 2 bölümden oluşmaktadır.

  • Node.js’de yapılan c2 olan bir sunucu tarafı modülü
  • Powershell’deki veri yükü olan bir payload kısmı.

Payload, powershell ile yüklenen 2 büyük base64 parçası içerir. Payload belirli bir ve adresinden bir konfigürasyon dosyası almakta ve C: \ Users \ Public \ Public dizini içinde klasörler oluşturmaktadır. Ayrıca diğer 2 payloadı de dizine bırakmaktadır. Dosyaları klasöre ekledikten sonra 2 zamanlanmış görev oluşturmaktadır. Bunlardan biri yönetici, diğeri normal bir kullanıcı var içindir. Bu zamanlanmış görevler iki bırakılan powershell betiğini çalıştıracak böylece her 10 dakikada bir dUpdater.ps1 ve hUpdater.ps. Dosyaları çalışacaktır.

Aynı zamanda hedef sisteme yüklenen zararlı dosyalar virüstotal ile kontrol edildiğinde sadece 2 sistem tarafından zararlı olduğu görülmektedir.

apt34

Sızıntının büyük bir kısmı, ASP Web shell “HighShell” ve “HyperShell” olarak bilinen kısımlarındadır. Hala açık kalan ASP web shelleri bulunmaktadır. Sonuç olarak her NT tabanlı işletim sisteminde saldırgan istemciyi NTLM kullanarak saldırganın makinesinde kimlik doğrulaması yapmaya zorlayabilir ve bir MitM saldırısı gerçekleştirebilir.

İkinci bölüm, javascript dnsd.js. Javascript versiyonuna sahip dns.py’dir.

APT34, DNS Hijacking saldırılarıyla bilindiği için bizleri şaşırtmayan bir DNS korsanının olduğu görülüyor. UDP bağlantı noktası 53 üzerinde çalışmaktadır ve bir istek aldığında, etki alanının konfigürasyon dosyasında olup olmadığını kontrol etmekte ve saldırganın ayarladığı IP ile yanıtı geçersiz kılmaktadır. Yani temelde bu, saldırgana bu DNS’i kullanan kurbanları kendi zararlı DNS sunucusuna yönlendirmektedir. Bu sızıntının diğer sızıntılardan farkı ise sadece kullanıcılardan çok sayıda özel anahtar ve kimlik bilgisi değil, aynı zamanda bazı etki alanları için DA (Etki Alanı Yöneticisi) kimlik bilgileri de içermesidir.

IOC:

C:\Users\Public\Public\atag[0-9]{4}[A-Z]{2}
C:\Users\Public\Public\dUpdater.ps1
C:\Users\Public\Public\hUpdated.ps1
C:\Users\Public\Public\UpdateTask.vbs
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Shells:

hxxps://202.183.235.31/owa/auth/signout.aspx
hxxps://202.183.235.4/owa/auth/signout.aspx
hxxps://122.146.71.136/owa/auth/error3.aspx
hxxps://59.124.43.229/owa/auth/error0.aspx
hxxps://202.134.62.169/owa/auth/signin.aspx
hxxps://202.164.27.206/owa/auth/signout.aspx
hxxps://213.14.218.51/owa/auth/logon.aspx
hxxps://88.255.182.69/owa/auth/getidtoken.aspx
hxxps://95.0.139.4/owa/auth/logon.aspx
hxxps://1.202.179.13/owa/auth/error1.aspx
hxxps://1.202.179.14/owa/auth/error1.aspx
hxxps://114.255.190.1/owa/auth/error1.aspx
hxxps://180.166.27.217/owa/auth/error3.aspx
hxxps://180.169.13.230/owa/auth/error1.aspx
hxxps://210.22.172.26/owa/auth/error1.aspx
hxxps://221.5.148.230/owa/auth/outlook.aspx
hxxps://222.178.70.8/owa/auth/outlook.aspx
hxxps://222.66.8.76/owa/auth/error1.aspx
hxxps://58.210.216.113/owa/auth/error1.aspx
hxxps://60.247.31.237/owa/auth/error3.aspx
hxxps://60.247.31.237/owa/auth/logoff.aspx
hxxps://202.104.127.218/owa/auth/error1.aspx
hxxps://202.104.127.218/owa/auth/exppw.aspx
hxxps://132.68.32.165/owa/auth/logout.aspx
hxxps://132.68.32.165/owa/auth/signout.aspx
hxxps://209.88.89.35/owa/auth/logout.aspx
hxxps://114.198.235.22/owa/auth/login.aspx
hxxps://114.198.237.3/owa/auth/login.aspx
hxxps://185.10.115.199/owa/auth/logout.aspx
hxxps://195.88.204.17/owa/auth/logout.aspx
hxxps://46.235.95.125/owa/auth/signin.aspx
hxxps://51.211.184.170/owa/auth/owaauth.aspx
hxxps://91.195.89.155/owa/auth/signin.aspx
hxxps://82.178.124.59/owa/auth/gettokenid.aspx
hxxps://83.244.91.132/owa/auth/logon.aspx
hxxps://195.12.113.50/owa/auth/error3.aspx
hxxps://78.100.87.199/owa/auth/logon.aspx
hxxps://110.74.202.90/owa/auth/errorff.aspx
hxxps://211.238.138.68/owa/auth/error1.aspx
hxxps://168.63.221.220/owa/auth/error3.aspx
hxZps://213.189.82.221/owa/auth/errorff.aspx
hxxps://205.177.180.161/owa/auth/erroref.aspx
hxxps://77.42.251.125/owa/auth/logout.aspx
hxxps://202.175.114.11/owa/auth/error1.aspx
hxxps://202.175.31.141/owa/auth/error3.aspx
hxxps://213.131.83.73/owa/auth/error4.aspx
hxxps://187.174.201.179/owa/auth/error1.aspx
hxxps://200.33.162.13/owa/auth/error3.aspx
hxxps://202.70.34.68/owa/auth/error0.aspx
hxxps://202.70.34.68/owa/auth/error1.aspx
hxxps://197.253.14.10/owa/auth/logout.aspx
hxxps://41.203.90.221/owa/auth/logout.aspx
hxxp://www.abudhabiairport.ae/english/resources.aspx
hxxps://mailkw.agility.com/owa/auth/RedirSuiteService.aspx
hxxp://www.ajfd.gov.ae/_layouts/workpage.aspx
hxxps://mail.alfuttaim.ae/owa/auth/change_password.aspx
hxxps://mail.alraidah.com.sa/owa/auth/GetLoginToken.aspx
hxxp://www.alraidah.com.sa/_layouts/WrkSetlan.aspx
hxxps://webmail.alsalam.aero/owa/auth/EventClass.aspx
hxxps://webmail.bix.bh/owa/auth/Timeoutctl.aspx
hxxps://webmail.bix.bh/owa/auth/EventClass.aspx
hxxps://webmail.bix.bh/ecp/auth/EventClass.aspx
hxxps://webmail.citc.gov.sa/owa/auth/timeout.aspx
hxxps://mail.cma.org.sa/owa/auth/signin.aspx
hxxps://mail.dallah-hospital.com/owa/auth/getidtokens.aspx
hxxps://webmail.dha.gov.ae/owa/auth/outlookservice.aspx
hxxps://webmail.dnrd.ae/owa/auth/getidtoken.aspx
hxxp://dnrd.ae:8080/_layouts/WrkStatLog.aspx
hxxps://www.dns.jo/statistic.aspx
hxxps://webmail.dsc.gov.ae/owa/auth/outlooklogonservice.aspx
hxxps://e-albania.al/dptaktkonstatim.aspx
hxxps://owa.e-albania.al/owa/auth/outlookdn.aspx
hxxps://webmail.eminsco.com/owa/auth/outlookfilles.aspx
hxxps://webmail.eminsco.com/owa/auth/OutlookCName.aspx
hxxps://webmail.emiratesid.ae/owa/auth/RedirSuiteService.aspx
hxxps://mailarchive.emiratesid.ae/EnterpriseVault/js/jquery.aspx
hxxps://webmail.emiratesid.ae/owa/auth/handlerservice.aspx
hxxp://staging.forus.jo/_layouts/explainedit.aspx
hxxps://government.ae/tax.aspx
hxxps://formerst.gulfair.com/GFSTMSSSPR/webform.aspx
hxxps://webmail.ictfund.gov.ae/owa/auth/owaauth.aspx
hxxps://jaf.mil.jo/ShowContents.aspx
hxxp://www.marubi.gov.al/aspx/viewpercthesaurus.aspx
hxxps://mail.mindware.ae/owa/auth/outlooktoken.aspx
hxxps://mail.mis.com.sa/owa/auth/Redirect.aspx
hxxps://webmail.moe.gov.sa/owa/auth/redireservice.aspx
hxxps://webmail.moe.gov.sa/owa/auth/redirectcache.aspx
hxxps://gis.moei.gov.ae/petrol.aspx
hxxps://gis.moenr.gov.ae/petrol.aspx
hxxps://m.murasalaty.moenr.gov.ae/signproces.aspx
hxxps://mail.mofa.gov.iq/owa/auth/RedirSuiteService.aspx
hxxp://ictinfo.moict.gov.jo/DI7Web/libraries/aspx/RegStructures.aspx
hxxp://www.mpwh.gov.jo/_layouts/CreateAdAccounts.aspx
hxxps://mail.mygov.ae/owa/auth/owalogin.aspx
hxxps://ksa.olayan.net/owa/auth/signin.aspx
hxxps://mail.omantourism.gov.om/owa/auth/GetTokenId.aspx
hxxps://email.omnix-group.com/owa/auth/signon.aspx
hxxps://mail.orange-jtg.jo/OWA/auth/signin.aspx
hxxp://fwx1.petra.gov.jo/SEDCOWebServer/global.aspx
hxxp://fwx1.petranews.gov.jo/SEDCOWebServer/content/rtl/QualityControl.aspx
hxxps://webmail.presflt.ae/owa/auth/logontimeout.aspx
hxxps://webmail.qchem.com/OWA/auth/RedirectCache.aspx
hxxps://meet.saudiairlines.com/ClientResourceHandler.aspx
hxxps://mail.soc.mil.ae/owa/auth/expirepw.aspx
hxxps://email.ssc.gov.jo/owa/auth/signin.aspx
hxxps://mail.sts.com.jo/owa/auth/signout.aspx
hxxp://www.sts.com.jo/_layouts/15/moveresults.aspx
hxxps://mail.tameen.ae/owa/auth/outlooklogon.aspx
hxxps://webmail.tra.gov.ae/owa/auth/outlookdn.aspx
hxxp://bulksms.umniah.com/gmgweb/MSGTypesValid.aspx
hxxps://evserver.umniah.com/index.aspx
hxxps://email.umniah.com/owa/auth/redirSuite.aspx
hxxps://webmail.gov.jo/owa/auth/getidtokens.aspx
hxxps://www.tra.gov.ae/signin.aspx
hxxps://www.zakatfund.gov.ae/zfp/web/tofollowup.aspx
hxxps://mail.zayed.org.ae/owa/auth/espw.aspx
hxxps://mail.primus.com.jo/owa/auth/getidtoken.aspx

Blog postu ile ilgili bir sorunuz varsa bizimle iletişime geçebilirsiniz.

Size nasıl yardımcı olalım?

İhtiyacınız olan her an Prisma danışmanları yanı başınızda. Bizimle 7/24 iletişime geçebilirsiniz.


Sızma testi hizmetlerimizi incelediniz mi?