• Welcome to the world's largest Chinese hacker forum

    Welcome to the world's largest Chinese hacker forum, our forum registration is open! You can now register for technical communication with us, this is a free and open to the world of the BBS, we founded the purpose for the study of network security, please don't release business of black/grey, or on the BBS posts, to seek help hacker if violations, we will permanently frozen your IP and account, thank you for your cooperation. Hacker attack and defense cracking or network Security

    business please click here: Creation Security  From CNHACKTEAM

伊朗黑客组织大集合


This Wind

Recommended Posts

近日,美伊关系持续紧张。美国国土安全部认为伊朗拥有强大的网络攻击能力,可以和可能对美国实施网络攻击,至少有能力对美国的关键基础设施发起具有暂时的破坏性的攻击。本文就可能与伊朗有关的黑客组织进行初步分析。

OilRig

OilRig是一个伊朗黑客组织,主要攻击目标为中东地区的不同行业,该组织也会攻击中东地区外的组织。OilRig常常会发起供应链攻击,利用组织之间的信任关系来攻击其目标。该组织使用Mimikatz和laZagne这样的开源管理工具和常见的系统管理工具,如PsExec, CertUtil, Netstat, SystemInfo, ipconfig和tasklist。Bonupdater, Helminth, Quadangent和PowRuner是过去几年出现的与OilRig相关的恶意软件。OilRig TTP如下图所示:

伊朗黑客组织大集合

OilRig TTP

从图中可以看出,OilRig主要关注隐藏技术而非使用一些先进技术来实现访问。而且没有使用0 day和高级漏洞利用。其实OilRig并不需要高级的漏洞利用技术,因为它只是一个进入受害者基础设施的简单方法。比如,通过凭证泄露、社会工程工具集、针对性钓鱼等。

MuddyWater

MuddyWater是一个主要攻击中东国家的伊朗黑客组织,同时也会攻击欧洲和北美国家。该组织的主要攻击目标是电信企业、政府机构(IT服务)、石油行业。当前还没有与MuddyWater (‘Muddy’)相关的恶意软件,但目前只有Powerstats与该组织相关。该黑客组织喜欢使用开源工具来发起攻击活动。

伊朗黑客组织大集合

MuddyWater TTP

一旦进入受害者机器,Muddy就会寻找本地凭证,然后使用这样的凭证来登陆网络/域控制器。MuddyWater一般会对整个目标网络花费数月去做侦察,但是访问过程是静默和混淆的。同样地,该组织也无需高级的利用技术,而只需要一些IT只是就可以在网络隔离和代理/NAT之间活动。

APT33

APT33是从2013年开始活动的伊朗黑客组织。该组织的攻击目标是美国、沙特阿拉伯、韩国等地的导航、能源等多个行业。分析其TTP研究人员发现与MuddyWater的TTP非常类似。对比Muddy TTP图和APT 33 TTP图就会发现其共享了许多工具和技术,比如Powerstats (Muddy)和Powertron (APT33)就共享了一些函数和一小段代码。与MuddyWatter相比,研究人员对APT33了解地更多一些,根据TTP的相似性研究人员猜测APT 33可能是主要的攻击者,而MuddyWater可能只是APT33攻击者的特定小组或特定行动。

伊朗黑客组织大集合

APT33 TTP

APT33在攻击活动中使用了shamoon、stoneDrill这样的恶意软件,表现出了巨大的破坏性。而Muddy主要是对受害者植入后门。

CopyKittens

CopyKittens是伊朗的网络监控组织,从2013年开始活跃。攻击目标是以色列、沙特阿拉伯、土耳其、美国、苏丹和德国。该组织负责的活动包括Operation Wilted Tulip。CopyKittens与之前的攻击者有所不同,他使用了自动漏洞利用系统CobaltStrike。使用Cobalt和Empire可以让攻击者自动进行下一步活动。与前面的黑客组织最大的不同在于,CopyKittens在被攻击的网络中会比较燥,因此使用一些自动化的工具就可以进行检测。

伊朗黑客组织大集合

CopyKittens TTP

还有一个特征就是使用代码签名技术。在OilRig, MuddyWater 和 APT33中,研究人员看到很多的脚本能力,而在CopyKittens中,研究人员看到了很多的高级代码能力。事实上,代码签名是在Windows和IOS系统中使用的,以确保软件来自已知的开发者,而且不会被恶意修改。而脚本是开发者使用的,是属于开发者独有的特征和技能。这个差异表明在CopyKittens中可能会有一个由不同的人员组成的小组参与。

Cleaver

Cleaver是一个归属于伊朗的黑客组织,主要攻击活动包括Operation Cleaver。有证据表明Cleaver与Threat Group 2889 (TG-2889)有关。但是研究人员对该组织的了解较少。该组织使用的工具Mimikatz很容易被用于凭证复制,而TinyZBot主要用于监控,而没有强健的架构设计、代码执行和数据窃取能力。

伊朗黑客组织大集合

Cleaver TTP

Cleaver黑客组织自2012年开始活跃,主要攻击目标是加拿大、中国、英国、法国、德国、印度、以色列、科威特、墨西哥、巴基斯坦、卡塔尔、沙特阿拉伯、韩国、土耳其、阿拉伯联合酋长国和美国。OpCleaver报告中称,Cleaver的开发人员是最先进的黑客组织之一。

黑客组织比较

事实上,这些黑客组织都是有联系的,比如共享TTP。OilRig和APT33是与伊朗相关的最有名的黑客组织,但其作用不同、代码基础也不同。CopyKittens聚簇分析发现与APT33很接近,但Muddywater看起来与介于这两者中间。进一步分析其使用的恶意软件,研究人员认为Muddy与APT33更加接近。

 伊朗黑客组织大集合

研究人员也看到两种不同的代码风格。第一种主要是使用脚本,比如python、autoIT,这些黑客可能是从IT人员转型过来的。第二种是有开发经验的人员,主要包括Java、.NET和C++。MuddyWater 和APT33就使用了脚本引擎、Powershell、Empire框架等等。而OilRig, Cleaver和 CopyKitten的开发团队看起来比较有软件开发能力,主要关注于秘密行动。

总结

本文对于伊朗相关的黑客组织进行了初步分析,包括OilRig, APT33, MuddyWater, Cleaver等。介绍了每个黑客组织和其TTP,并对黑客组织之间的关系和区别进行了分析。

本文翻译自:https://securityaffairs.co/wordpress/96424/cyber-warfare-2/iranian-threat-actors.html

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now