主页 > 苹果手机安装imtoken > 伊朗网络军（污水）网络武器泄露，其他工具和数据以2BTC出售

伊朗网络军（污水）网络武器泄露，其他工具和数据以2BTC出售

苹果手机安装imtoken 2023-03-20 06:38:58

btc挖矿机_btc数据_淘宝天猫京东运营管理btc培训

*本文在原文的基础上做了一些补充和内容修改

日前，我发表了一篇关于伊朗网络军相关成员的文章

最近为了这个会员，以下简称尼玛

又一次被反伊朗组织放到了电报群里，尽管尼玛先生一直声称自己是无辜的

淘宝天猫京东运营管理btc培训_btc数据_btc挖矿机

顺便说一句，这个群的创始人曝光了尼玛先生使用黑客工具的事情。

btc挖矿机_btc数据_淘宝天猫京东运营管理btc培训

工具下载地址：

并且显示尼玛先生曾在卡沃什安全中心工作。

btc挖矿机_btc数据_淘宝天猫京东运营管理btc培训

kavosh 安全团队在幕后得到另一支伊朗网络军队 APT 33（又名 Elfin）的支持。

基于此，如果确认锤子，则可以绘制另一个连接。伊朗APT33和Muddywater可能在伊朗同属一个部门管辖，或者联系很深。

下图展示了尼玛与APT33的关系。

btc挖矿机_淘宝天猫京东运营管理btc培训_btc数据

并且最后尼玛先生的数据和相关资料被拍卖，包括APT33的所有C2和工具以及Muddywater的所有C2和工具，只有2个比特币。我当然以为他是在开玩笑，因为我似乎无法回答他。

btc数据_btc挖矿机_淘宝天猫京东运营管理btc培训

btc挖矿机_淘宝天猫京东运营管理btc培训_btc数据

组合前几天，APT34被太阳穿透，工具泄露

没用

当然，作为吃瓜群众，看看就好。

btc数据_淘宝天猫京东运营管理btc培训_btc挖矿机

以上均为黑鸟废话，以下为原文

今年5月初，部分黑客成员在Telegram频道（Channel: GreenLeakers）上披露，他们掌握了涉嫌APT组织MuddyWater网络攻击的证据和资料btc数据，并进行出售。

MuddyWater被普遍认为是来自中东的长期活跃的APT组织。 2019年2月至4月，该组织对土耳其、伊朗、阿富汗、伊拉克、塔吉克斯坦和阿塞拜疆的政府、教育机构、金融、电信和国防公司发起了一系列钓鱼邮件攻击。

由于Telegram上有大量证据指向伊朗，浑水被国际公认为伊朗网络军。

btc挖矿机_btc数据_淘宝天猫京东运营管理btc培训

其web控制后台界面：

btc挖矿机_淘宝天猫京东运营管理btc培训_btc数据

还有它开发的一款渗透工具，从Banner可以看出是muddyc3，版本号是1.0.0。

btc挖矿机_淘宝天猫京东运营管理btc培训_btc数据

昨天（6月24日），另一个电报频道泄露了muddyc3的源代码并进行了相关拍卖。

btc挖矿机_淘宝天猫京东运营管理btc培训_btc数据

btc挖矿机_btc数据_淘宝天猫京东运营管理btc培训

随后，有安全研究人员在Github上发布了相关恶意样本和反编译源码，版本也是1.0.0。

分析

了解了muddyc3的信息后，我们在搜索引擎中搜索，发现了两个名为muddyc3.exe的样本。

btc数据_淘宝天猫京东运营管理btc培训_btc挖矿机

反编译

我们发现其中一个样本是x64环境下PyInstaller打包的版本。从Banner信息可以看出其版本为v1.0.1。

尝试反编译它。可以使用PyInstaller的archive_viewer脚本提取对应的pyc脚本。但是由于脚本操作需要用户交互指定反编译文件名，所以可以自定义代码提取所有需要反编译的pyc。解压后，需要Fix pyc header magic information。或者为了方便直接使用pyinstxttractor脚本。

还原为pyc文件后btc数据，使用相关的反编译工具，如Easy Python Decompiler或uncompyle6。在实际过程中，发现使用Easy Python Decompiler时，部分文件会出现反编译错误。另外，从pyc magic number得知其编译环境为Python 2.7。

最后去掉内部库，获取源码：

淘宝天猫京东运营管理btc培训_btc数据_btc挖矿机

功能和代码分析

版本 1.0.1 和 1.0.0 在代码结构上只有很小的区别。下图为进入界面截图

btc数据_淘宝天猫京东运营管理btc培训_btc挖矿机

开始运行需要指定C&C服务器IP和端口，是否使用代理IP。

淘宝天猫京东运营管理btc培训_btc挖矿机_btc数据

主要实现了list、show、use、payload四个命令，show命令在实际代码中没有对应的处理逻辑。

它还列出了一些如何实现初始加载的示例。初始脚本加载代码可以嵌入文档宏等，当攻击目标触发初始脚本执行时，会访问指定路径的控制IP。

btc挖矿机_btc数据_淘宝天猫京东运营管理btc培训

工具主体是基于web.py实现的服务器（lib目前实现为web.py库），用于实现与被控主机的请求响应和命令交互，其中v1.0.0版本和 v1.0.1 版本的交互 url 路径列表不太一样。

btc挖矿机_btc数据_淘宝天猫京东运营管理btc培训

V1.0.0

btc数据_btc挖矿机_淘宝天猫京东运营管理btc培训

V1.0.1

主要以sct、hta、powershell的形式实现下阶段的加载、上传、下载、信息返回，以及配套的模块。

由于打包后的exe控制程序不包含默认的powershell payload代码，因此无法进一步了解。

淘宝天猫京东运营管理btc培训_btc挖矿机_btc数据

例如这里我们尝试访问根路径。

btc数据_淘宝天猫京东运营管理btc培训_btc挖矿机

尝试访问 /hta 路径。

btc挖矿机_淘宝天猫京东运营管理btc培训_btc数据

淘宝天猫京东运营管理btc培训_btc数据_btc挖矿机

它进行简单的字符替换和base64编码，其实就是：

淘宝天猫京东运营管理btc培训_btc挖矿机_btc数据

总结

从反编译后的控制程序的完整性来看，应该是MuddyWater组织使用的早期版本，可以作为一个基础的后期利用框架的雏形。

奇安信威胁情报中心红雨滴团队也将持续关注相关机构的更多进展。

国际奥委会

daa7d4c40ffaa6cf4e4708747d3a9b37

146cc97df36cb4cea39074652d069519

参考链接

以下全是黑鸟废话。

自今天发表这篇文章以来，内部和外部都对 MuddyWater 如何翻译进行了大量讨论

而Muddy顺理成章地翻译成浑浊

btc挖矿机_淘宝天猫京东运营管理btc培训_btc数据

淘宝天猫京东运营管理btc培训_btc数据_btc挖矿机

因此，借此机会发起投票，是规范还是跟风，一半以上我会更正截图

btc挖矿机_淘宝天猫京东运营管理btc培训_btc数据

以下是建国同志时间

先把责任抛在脑后，说他竞选失败也是三个国家惹的祸。

然后发三条针对伊朗的推特推文

btc数据_淘宝天猫京东运营管理btc培训_btc挖矿机

btc数据_淘宝天猫京东运营管理btc培训_btc挖矿机

淘宝天猫京东运营管理btc培训_btc挖矿机_btc数据

架势高高在上，不管你做什么，对方都是错的。

它看起来像今天的某个岛屿。

感谢您的关注和转发点赞

更多文章请点击历史文章

加星方法如下

btc挖矿机_淘宝天猫京东运营管理btc培训_btc数据

关注后点击菜单栏中的知识星球

扫描二维码加入每日更新的知识星球，开启威胁情报世界的大门

（现已开启分享奖励模式，分享越多赚得越多，原价299，现价269）

btc数据_淘宝天猫京东运营管理btc培训_btc挖矿机

BB不多，请点几个看

上一篇：人民日报海外版谈比特币：不要盲目跟风到“大傻”

下一篇：BMEX期货交易所的四大优势你知道吗？ BMEX如何成为合约交易所的佼佼者，

相关文章