#MuddyWater_Pivot
در یکی از گزارشات کمپانی clearskysec در خصوص بدافزار Embed شده به فایل فرمت خانواده محصولات Office یعنی Doc آمده که تیم ایرانی برای رد گم کنی یک دامنه اسرائلی رو هک کرده و Reverse دسترسی بدافزار ارسالی خودش رو به واسطه پروکسی های پی در پی به این دامنه ارسال کرده,
حرکت جالب و به ظاهر خلاقانه ای هستش اما مثل اینکه زیاد هم کار آمد نبوده و این شرکت توانسته بدافزار رو Detect و Signature کنه , البته چون هدف کشورهای عربی بوده بحث شناسایی این حمله با تاخیر انجام شده,
نوع پایلود اصلی که میشه Stage Two هم یک Macro به زبان VBScript بوده که البته بصورت مبهم سازی نوشته شده بوده و پایلود رو بر بستر خط فرمان Powershell به اجرا در می آورده, این گزارش برای سال 2018 هستش...
https://www.clearskysec.com/muddywater-operations-in-lebanon-and-oman/
@Unk9vvN
در یکی از گزارشات کمپانی clearskysec در خصوص بدافزار Embed شده به فایل فرمت خانواده محصولات Office یعنی Doc آمده که تیم ایرانی برای رد گم کنی یک دامنه اسرائلی رو هک کرده و Reverse دسترسی بدافزار ارسالی خودش رو به واسطه پروکسی های پی در پی به این دامنه ارسال کرده,
حرکت جالب و به ظاهر خلاقانه ای هستش اما مثل اینکه زیاد هم کار آمد نبوده و این شرکت توانسته بدافزار رو Detect و Signature کنه , البته چون هدف کشورهای عربی بوده بحث شناسایی این حمله با تاخیر انجام شده,
نوع پایلود اصلی که میشه Stage Two هم یک Macro به زبان VBScript بوده که البته بصورت مبهم سازی نوشته شده بوده و پایلود رو بر بستر خط فرمان Powershell به اجرا در می آورده, این گزارش برای سال 2018 هستش...
https://www.clearskysec.com/muddywater-operations-in-lebanon-and-oman/
@Unk9vvN
#Iranian #APT #MuddyWater Target #Turkish
اخیرا تیم MuddyWater که منتصب به دستگاه نظارتی ایران است، اقدام به هدف قرار دادن کاربران ترکیه کرده است، این نفوذ مبتنی بر فایل فرمت PDF بوده که قربانیان رو مجاب به کلیک بر پیام مهندسی اجتماعی خود میکنه، و اینطور اولین مرحله زنجیره حمله رخ میده،
در اولین قدم بعد از کلیک بر گزینه دانلود، ارتباط با یک سرور اشتراک گذاری فایل، فایل هایی با فرمت XLS که از خانواده Excel هستند دریافت میشه این فایل ها دارای محتواهایی به زبان ترکی است که شبیه سازی اسناد مشروع وزارتخانه بهداشت است.
در قدم بعدی مایکروهایی که در XLS قرار داده شده به اجرا در آمده و کلید Reg برای ماندگاری در سیستم تنظیم میگردد و بعد از آن یک درخواست به canarytokens.com زده میشود بواسطه توکن از قبل تعریف شده ای Stage های بعدی زنجیره حمله دانلود میشود که فایل های مبهم سازی شده پاورشل پایه هستند.
اما در ادامه فایل VBS دانلود شده مامور اجرای فایل PS1 شده که خود فایل PS1 اقدام به دانلود دیگری که پیلود اصلی است خواهد کرد و بعد از دانلود آنرا اجرا میکند.
Reference
@Unk9vvN
اخیرا تیم MuddyWater که منتصب به دستگاه نظارتی ایران است، اقدام به هدف قرار دادن کاربران ترکیه کرده است، این نفوذ مبتنی بر فایل فرمت PDF بوده که قربانیان رو مجاب به کلیک بر پیام مهندسی اجتماعی خود میکنه، و اینطور اولین مرحله زنجیره حمله رخ میده،
در اولین قدم بعد از کلیک بر گزینه دانلود، ارتباط با یک سرور اشتراک گذاری فایل، فایل هایی با فرمت XLS که از خانواده Excel هستند دریافت میشه این فایل ها دارای محتواهایی به زبان ترکی است که شبیه سازی اسناد مشروع وزارتخانه بهداشت است.
در قدم بعدی مایکروهایی که در XLS قرار داده شده به اجرا در آمده و کلید Reg برای ماندگاری در سیستم تنظیم میگردد و بعد از آن یک درخواست به canarytokens.com زده میشود بواسطه توکن از قبل تعریف شده ای Stage های بعدی زنجیره حمله دانلود میشود که فایل های مبهم سازی شده پاورشل پایه هستند.
اما در ادامه فایل VBS دانلود شده مامور اجرای فایل PS1 شده که خود فایل PS1 اقدام به دانلود دیگری که پیلود اصلی است خواهد کرد و بعد از دانلود آنرا اجرا میکند.
Reference
@Unk9vvN