主页 > 苹果手机安装imtoken > 伊朗网络军(污水)网络武器泄露,其他工具和数据以2BTC出售
伊朗网络军(污水)网络武器泄露,其他工具和数据以2BTC出售
*本文在原文的基础上做了一些补充和内容修改
日前,我发表了一篇关于伊朗网络军相关成员的文章
最近为了这个会员,以下简称尼玛
又一次被反伊朗组织放到了电报群里,尽管尼玛先生一直声称自己是无辜的
顺便说一句,这个群的创始人曝光了尼玛先生使用黑客工具的事情。
工具下载地址:
并且显示尼玛先生曾在卡沃什安全中心工作。
kavosh 安全团队在幕后得到另一支伊朗网络军队 APT 33(又名 Elfin)的支持。
基于此,如果确认锤子,则可以绘制另一个连接。 伊朗APT33和Muddywater可能在伊朗同属一个部门管辖,或者联系很深。
下图展示了尼玛与APT33的关系。
并且最后尼玛先生的数据和相关资料被拍卖,包括APT33的所有C2和工具以及Muddywater的所有C2和工具,只有2个比特币。 我当然以为他是在开玩笑,因为我似乎无法回答他。
组合前几天,APT34被太阳穿透,工具泄露
没用
当然,作为吃瓜群众,看看就好。
以上均为黑鸟废话,以下为原文
今年5月初,部分黑客成员在Telegram频道(Channel: GreenLeakers)上披露,他们掌握了涉嫌APT组织MuddyWater网络攻击的证据和资料btc数据,并进行出售。
MuddyWater被普遍认为是来自中东的长期活跃的APT组织。 2019年2月至4月,该组织对土耳其、伊朗、阿富汗、伊拉克、塔吉克斯坦和阿塞拜疆的政府、教育机构、金融、电信和国防公司发起了一系列钓鱼邮件攻击。
由于Telegram上有大量证据指向伊朗,浑水被国际公认为伊朗网络军。
其web控制后台界面:
还有它开发的一款渗透工具,从Banner可以看出是muddyc3,版本号是1.0.0。
昨天(6月24日),另一个电报频道泄露了muddyc3的源代码并进行了相关拍卖。
随后,有安全研究人员在Github上发布了相关恶意样本和反编译源码,版本也是1.0.0。
分析
了解了muddyc3的信息后,我们在搜索引擎中搜索,发现了两个名为muddyc3.exe的样本。
反编译
我们发现其中一个样本是x64环境下PyInstaller打包的版本。 从Banner信息可以看出其版本为v1.0.1。
尝试反编译它。 可以使用PyInstaller的archive_viewer脚本提取对应的pyc脚本。 但是由于脚本操作需要用户交互指定反编译文件名,所以可以自定义代码提取所有需要反编译的pyc。 解压后,需要Fix pyc header magic information。 或者为了方便直接使用pyinstxttractor脚本。
还原为pyc文件后btc数据,使用相关的反编译工具,如Easy Python Decompiler或uncompyle6。 在实际过程中,发现使用Easy Python Decompiler时,部分文件会出现反编译错误。 另外,从pyc magic number得知其编译环境为Python 2.7。
最后去掉内部库,获取源码:
功能和代码分析
版本 1.0.1 和 1.0.0 在代码结构上只有很小的区别。 下图为进入界面截图
开始运行需要指定C&C服务器IP和端口,是否使用代理IP。
主要实现了list、show、use、payload四个命令,show命令在实际代码中没有对应的处理逻辑。
它还列出了一些如何实现初始加载的示例。 初始脚本加载代码可以嵌入文档宏等,当攻击目标触发初始脚本执行时,会访问指定路径的控制IP。
工具主体是基于web.py实现的服务器(lib目前实现为web.py库),用于实现与被控主机的请求响应和命令交互,其中v1.0.0版本和 v1.0.1 版本的交互 url 路径列表不太一样。
V1.0.0
V1.0.1
主要以sct、hta、powershell的形式实现下阶段的加载、上传、下载、信息返回,以及配套的模块。
由于打包后的exe控制程序不包含默认的powershell payload代码,因此无法进一步了解。
例如这里我们尝试访问根路径。
尝试访问 /hta 路径。
它进行简单的字符替换和base64编码,其实就是:
总结
从反编译后的控制程序的完整性来看,应该是MuddyWater组织使用的早期版本,可以作为一个基础的后期利用框架的雏形。
奇安信威胁情报中心红雨滴团队也将持续关注相关机构的更多进展。
国际奥委会
daa7d4c40ffaa6cf4e4708747d3a9b37
146cc97df36cb4cea39074652d069519
参考链接
以下全是黑鸟废话。
自今天发表这篇文章以来,内部和外部都对 MuddyWater 如何翻译进行了大量讨论
而Muddy顺理成章地翻译成浑浊
因此,借此机会发起投票,是规范还是跟风,一半以上我会更正截图
以下是建国同志时间
先把责任抛在脑后,说他竞选失败也是三个国家惹的祸。
然后发三条针对伊朗的推特推文
架势高高在上,不管你做什么,对方都是错的。
它看起来像今天的某个岛屿。
感谢您的关注和转发点赞
更多文章请点击历史文章
加星方法如下
关注后点击菜单栏中的知识星球
扫描二维码加入每日更新的知识星球,开启威胁情报世界的大门
(现已开启分享奖励模式,分享越多赚得越多,原价299,现价269)
BB不多,请点几个看