Este es el tercer mes en el que analizamos grupos de amenazas persistentes relevantes para el panorama englobado en el contexto actual. Por ello, este mes, sin duda, debía tocar un grupo de estas características… os presentamos al grupo iraní APT34.

Helix Kitten

Este actor que es de origen iraní (por si no quedaba claro…) y se le relaciona con un largo historial de operaciones de ciber espionaje. Se calcula que lleva activo desde 2014 (a pesar de que se dice que se creó sobre el 2004) y sus objetivos están muy relacionados con los intereses del gobierno de Irán.

Algunos de los nombres que se le dan son APT34 OilRig, Cobalt Gypsy, Twisted Kitten, entre otros.

El primer artículo en el que se hace referencia a este actor data del 11 de Septiembre del 2014. Os dejamos el enlace: http://www.nationmultimedia.com/opinion/Energy-competition-in-South-China-Sea-A-front-burn-30243078.html.

Su ultima acción conocida a fecha de escribir este artículo sería el siguiente: https://www.secrss.com/articles/16441.

Foto extraída del artículo referido

Durante este mes hemos tenido acceso a varias de sus herramientas, algunas antiguas, y hemos podido ver algunos de sus paneles usados en algunas de sus operaciones. Adjuntamos foto del panel.

Panel de acceso para controlar el malware

Durante las averiguaciones tuvimos acceso a instrucciones de uso a la hora de ocultar las direcciones IPs o sobre como redireccionar los DNS. También se incluían instrucciones para realizar DDoS y una lista de servidores comprometidos con sus paneles para poder acceder a ellos en caso de ser necesario.

Incluso conseguimos unos ejemplos de Posion Frog, casualmente al tiempo que una empresa muy conocida del sector que por cierto, según VT aún no detecta como malicioso el archivo. Desde nuestro nivel noob reversing hemos detectado que hay dos ficheros (esa era fácil), uno del cliente y otro del servidor. El del servidor incluye las vistas necesarias para controlar todo por interfaz. Incluye instrucciones de uso muy detalladas… en otras palabras, cualquiera puede usarlo.

Por otro lado se han dejado unas credenciales de configuración…

Finalmente comprobamos el hash, os dejamos con él: 4b92597fc4004ab673e8ba506ed9dceb.

Al buscar en virus total nos llevó efectivamente al zip de Posion.

Se subió a VT un día después de nuestra detección

Y tras este pequeño análisis de los noob analistas de malware pasamos a lo que nos atañe (nota: en el apartado IOCs os dejamos una lista de shells que sacamos del análisis del archivo anterior).

Operaciones

Sus operaciones se basan en objetivos financieros, energéticos, de telecomunicaciones e industrias químicas. Infraestructuras críticas cobre todo.

Sus operaciones más conocidas son:

Malware Asociado

Este grupo de caracteriza por hacer uso de las macros en Microsoft Excel, exploits y payloads en PowerShell y el uso de la ingeniería social para ganar acceso a los objetivos.

Algunos serían:

Destacamos el dato de que en algunos casos usaban LinkedIn para propagar malware.

Virus Total

Vamos a dejaros algunas referencias a este actor que hemos podido encontrar en VT de los últimos 30 días. Algunos de ellos aún no son detectados por antivirus actuales.

IOCs

Vamos ahora con unos cuantos IOCS:

c21074f340665935e6afe2a972c8d1ab517954e2dd05cc73e5ff0e8df587b99d

ea139a73f8ec75ea60dfa87027c7c3ef4ed61b45e1acb5d1650cc54e658984ba

da2abdc951e4b2272fea5c8989debd22e26350bab4b4219104bccec5b8a7ff5a

0d3ae682868cb3ff069ec52e1ffc5ef765453fd78e47b6366d96aebb09afd8ab

f0ecc4388f0d84501499711681a64a74c5d95e0bb6a2174cbe3744bd5a456396

860f4cd44371a180a99bc16526f54f8b051c420a3df334d05d569d0cdadac3d2

b42b1186211633c2d47f3d815f0371ba234fee2ed0f26e487badc58e1ab81061

4beee6e7aa244335e161fdc05296ea100090c2114b4ff2e782e3ee3e1f936fdf

5e0e09c9860b293c4c9a2382a7392963adc54d6a23440abb9a2d89c50f8fd305

3161f9087d89a2d036ea32741d5a006c6bb279d36ff8d1acde63f2e354f8c502

b6c159cad5a867895fd41c103455cebd361fc32d047b573321280b1451bf151c

6a7537f2cedbf453114cfba086e4746e698713777fb4fa4fc8964247dde741ed

16d87fbd8667677da1af5433b6d797438f8dc0ab565fb40ecb29f83f148888cd

92bc7d04445cf67aa7ddf15792cd62778d2d774d06616d1986f4c389b3d463f5

86d3409c908f667dd298b6a7e1e17652bb29af73e7daed4a5e945fbdf742e9f4

c3a8f5176351e87d28f45e58c79bb6646bb5d94ade7a24c6556514c860004143

a390365ddfcce146a8fa8435022f19b9a1be29f2b11a049cb660ec53f36beb06

d2ffc757a12817e4b58b3d58d71da951b177dedd3f65ca41fad04a03fc63fac6

79c9894b50cde62b182bd1560060c5c2bf5a1cef2b8afdffc4766e8c55ff6932

2f7f3582504fbce349a6991fbb3b5f9577c5c014b6ce889b80d51977fa6fb31a

8c2e4aa8d73ad2e48d70dfa18abea62769c7bef59c8c1607720f4f6162413f75

abe8e86b787998a07411ee24f3f3d8a79e37c6da539650ceed566b081f968c26

9e4d2e983f8a807f741f8873e6fa5d222dc6f3b358ccfc3a6c700398b342f656

e57f77cc3d117923ec01aa0e044edc11b1042e57993ca7f74d971630893ca263

ca6e823dedd6ca5fada2b1fa63d0acb288027f5a3cdd2c60dcace3c424c5ced0

eaaecabb439c81e522d9f5681fdb047ee62381e763f0d9646e68cd507479ba5a

1c3e527e496c4b0594a403d6d582bc6db3029d27369720d0d5122f862b10d8f1

29a659fb0ef0262e4de0dc3c6a140677b6ddee13c1819b791bd280be0547e309

218fac3d0639c0d762fcf71685bcf6b64c33d1533df03b4cf223d9b07ca1e3c2

e5b643cb6ec30d0d0b458e3f2800609f260a5f15c4ac66faf4ebf384f7976df6

71e584e7e1fb3cf2689f549192fe3a82fd4cd8ee7c42c15d736ebad47b028087

388b26e22f75a723ce69ad820b61dd8b75e260d3c61d74ff21d2073c56ea565d

33ee8a57e142e752a9c8960c4f38b5d3ff82bf17ec060e4114f5b15d22aa902e

5469facc266d5582bd387d69032a91c8fff373213b66a2f0852666e72bcdc1da

528714aaaa4a083e72599c32c18aa146db503eee80da236b20aea11aa43bdf62

66d24a529308d8ab7b27ddd43a6c2db84107b831257efb664044ec4437f9487b

cfce4827106c79a81eef6d3a0618c90bf5f15936036873573db76bed7e8a0864

68db2b363a88b061cc9063535f3920673f1f08d985b14cb52b898ced6c0f8964

e837f6b814c09900726dac2cf55f41babf361152875ba2a765a34ee5cc496087

f912d40de9fe9a726448c1d84dfba2d4941f57210b2dbc035f5d34d68e8ac143

af0ae0fa877f921d198239b7c722e12d14b2aa32fdfadaa37b47f558ae366de9

6d1a50ca3e80442fa3e2caca86c166ed60bef32c2d0af7352cd227303cdec031

Algunos hosts del malware

service.chrome-up[.]date

www3.chrome-up[.]date

www7.chrome-up[.]date

timezone[.]live

service1.chrome-up[.]date

104.238.184[.]252

www5.chrome-up[.]date

servicesystem.serveirc[.]com

45.76.128[.]165

139.59.46[.]154

104.218.120[.]128

89.107.62[.]39

69.87.223[.]26

analytics-google[.]org

89.107.60[.]11

www3.chrome-up[.]date

http://www.microsoftsubsystem.com-adm[.]in

www1.chrome-up[.]date

Shells sacadas de los análisis del archivo de la amenaza

Address,Site name,Country/region
https://202.183.235.31/owa/auth/signout.aspx,rtarf.mi.th,Thailand
https://202.183.235.4/owa/auth/signout.aspx,rtarf.mi.th,Thailand
https://122.146.71.136/owa/auth/error3.aspx,mail.taifo.com.tw,Taiwan
https://59.124.43.229/owa/auth/error0.aspx,tgpf.org.tw,Taiwan
https://202.134.62.169/owa/auth/signin.aspx,rshe13.com{outlook},Commercial
https://202.164.27.206/owa/auth/signout.aspx,wmail.hkcsl.com,Commercial
https://213.14.218.51/owa/auth/logon.aspx,botas.gov.tr{outlook},Turkey
https://88.255.182.69/owa/auth/getidtoken.aspx,mail.gulsanholding.com.tr,Turkey
https://95.0.139.4/owa/auth/logon.aspx,.nvi.gov.tr{outlook},Turkey
https://1.202.179.13/owa/auth/error1.aspx,mail.cecep.cn,China
https://1.202.179.14/owa/auth/error1.aspx,mail.cecep.cn,China
https://114.255.190.1/owa/auth/error1.aspx,mail.generali-china.cn,China
https://180.166.27.217/owa/auth/error3.aspx,exchange.bestv.com.cn,China
https://180.169.13.230/owa/auth/error1.aspx,bdo.com.cn,China
https://210.22.172.26/owa/auth/error1.aspx,lswebext.sdec.com.cn,China
https://221.5.148.230/owa/auth/outlook.aspx,mail.swsc.com.cn,China
https://222.178.70.8/owa/auth/outlook.aspx,mail.swsc.com.cn,China
https://222.66.8.76/owa/auth/error1.aspx,lswebext.sdec.com.cn,China
https://58.210.216.113/owa/auth/error1.aspx,mail.neway.com.cn,China
https://60.247.31.237/owa/auth/error3.aspx,crccre.cn,China
https://60.247.31.237/owa/auth/logoff.aspx,crccre.cn,China
https://202.104.127.218/owa/auth/error1.aspx,mail.aisidi.com,services
https://202.104.127.218/owa/auth/exppw.aspx,mail.aisidi.com,services
https://132.68.32.165/owa/auth/logout.aspx,CSEX.csf.technion.ac.il,Israel
https://132.68.32.165/owa/auth/signout.aspx,CSEX.csf.technion.ac.il,Israel
https://209.88.89.35/owa/auth/logout.aspx,mail.netone.co.zw,Zimbabwe
https://114.198.235.22/owa/auth/login.aspx,mail.its.ws,Samoa
https://114.198.237.3/owa/auth/login.aspx,mail.its.ws,Samoa
https://185.10.115.199/owa/auth/logout.aspx,sstc.com.sa,Saudi Arabia
https://195.88.204.17/owa/auth/logout.aspx,saptco.com.sa,Saudi Arabia
https://46.235.95.125/owa/auth/signin.aspx,safari.com.sa,Saudi Arabia
https://51.211.184.170/owa/auth/owaauth.aspx,uqu.edu.sa,Saudi Arabia
https://91.195.89.155/owa/auth/signin.aspx,moe.gov.sa,Saudi Arabia
https://82.178.124.59/owa/auth/gettokenid.aspx,admincourt.gov.om,Oman
https://83.244.91.132/owa/auth/logon.aspx,mail.hbtf.com.ps{outlook},Palestine
https://195.12.113.50/owa/auth/error3.aspx,MAIL.M.GOV.KZ,Kazakhstan
https://78.100.87.199/owa/auth/logon.aspx,ashghal.gov.qa{outlook},Qatar
https://110.74.202.90/owa/auth/errorff.aspx,mail.fmis.mef.gov.kh,Cambodia
https://211.238.138.68/owa/auth/error1.aspx,mailexchange.blueside.co.kr,North Korea
https://168.63.221.220/owa/auth/error3.aspx,mail.tc-gaming.co,Colombia
https://213.189.82.221/owa/auth/errorff.aspx,cait.gov.kw,Kuwait
https://205.177.180.161/owa/auth/erroref.aspx,ogero.gov.lb,Lebanon
https://77.42.251.125/owa/auth/logout.aspx,{ul.edu.lb},Lebanon
https://202.175.114.11/owa/auth/error1.aspx,webmail.netcraft.com.mo,Macau
https://202.175.31.141/owa/auth/error3.aspx,exchange.must.edu.mo,Macau
https://213.131.83.73/owa/auth/error4.aspx,ad.gov.eg{shell},Egypt
https://187.174.201.179/owa/auth/error1.aspx,correo.cns.gob.mx,Mexico
https://200.33.162.13/owa/auth/error3.aspx,sre.gob.mx,Mexico
https://202.70.34.68/owa/auth/error0.aspx,mfa.gov.mn,Myanmar
https://202.70.34.68/owa/auth/error1.aspx,mifa.gov.mn,Myanmar
https://197.253.14.10/owa/auth/logout.aspx,mail.mfaforum.gov.ng,Nigeria
https://41.203.90.221/owa/auth/logout.aspx,mail.mfaforum.gov.ng,Nigeria
http://www.abudhabiairport.ae/english/resources.aspx,www.abudhabiairport.ae,United Arab Emirates
https://mailkw.agility.com/owa/auth/RedirSuiteService.aspx,mailkw.agility.com,Kwait
http://www.ajfd.gov.ae/_layouts/workpage.aspx,www.ajfd.gov.ae,United Arab Emirates
https://mail.alfuttaim.ae/owa/auth/change_password.aspx,mail.alfuttaim.ae,United Arab Emirates
https://mail.alraidah.com.sa/owa/auth/GetLoginToken.aspx,mail.alraidah.com.sa,Saudi Arabia
http://www.alraidah.com.sa/_layouts/WrkSetlan.aspx,www.alraidah.com.sa,Saudi Arabia
https://webmail.alsalam.aero/owa/auth/EventClass.aspx,webmail.alsalam.aero,Saudi Arabia
https://webmail.bix.bh/owa/auth/Timeoutctl.aspx,webmail.bix.bh,Bahrain
https://webmail.bix.bh/owa/auth/EventClass.aspx,webmail.bix.bh,Bahrain
https://webmail.bix.bh/ecp/auth/EventClass.aspx,webmail.bix.bh,Bahrain
https://webmail.citc.gov.sa/owa/auth/timeout.aspx,webmail.citc.gov.sa,Saudi Arabia
https://mail.cma.org.sa/owa/auth/signin.aspx,mail.cma.org.sa,Saudi Arabia
https://mail.dallah-hospital.com/owa/auth/getidtokens.aspx,mail.dallah-hospital.com,Saudi Arabia
https://webmail.dha.gov.ae/owa/auth/outlookservice.aspx,webmail.dha.gov.ae,United Arab Emirates
https://webmail.dnrd.ae/owa/auth/getidtoken.aspx,webmail.dnrd.ae,United Arab Emirates
http://dnrd.ae:8080/_layouts/WrkStatLog.aspx,dnrd.ae,United Arab Emirates
https://www.dns.jo/statistic.aspx,www.dns.jo,Jordan
https://webmail.dsc.gov.ae/owa/auth/outlooklogonservice.aspx,webmail.dsc.gov.ae,United Arab Emirates
https://e-albania.al/dptaktkonstatim.aspx,e-albania.al,Albania
https://owa.e-albania.al/owa/auth/outlookdn.aspx,owa.e-albania.al,Albania
https://webmail.eminsco.com/owa/auth/outlookfilles.aspx,webmail.eminsco.com,United Arab Emirates
https://webmail.eminsco.com/owa/auth/OutlookCName.aspx,webmail.eminsco.com,United Arab Emirates
https://webmail.emiratesid.ae/owa/auth/RedirSuiteService.aspx,webmail.emiratesid.ae,United Arab Emirates
https://mailarchive.emiratesid.ae/EnterpriseVault/js/jquery.aspx,mailarchive.emiratesid.ae,United Arab Emirates
https://webmail.emiratesid.ae/owa/auth/handlerservice.aspx,webmail.emiratesid.ae,United Arab Emirates
http://staging.forus.jo/_layouts/explainedit.aspx,staging.forus.jo,Jordan
https://government.ae/tax.aspx,government.ae,United Arab Emirates
https://formerst.gulfair.com/GFSTMSSSPR/webform.aspx,formerst.gulfair.com,Bahrain
https://webmail.ictfund.gov.ae/owa/auth/owaauth.aspx,webmail.ictfund.gov.ae,United Arab Emirates
https://jaf.mil.jo/ShowContents.aspx,jaf.mil.jo,Jordan
http://www.marubi.gov.al/aspx/viewpercthesaurus.aspx,www.marubi.gov.al,Albania
https://mail.mindware.ae/owa/auth/outlooktoken.aspx,mail.mindware.ae,United Arab Emirates
https://mail.mis.com.sa/owa/auth/Redirect.aspx,mail.mis.com.sa,Saudi Arabia
https://webmail.moe.gov.sa/owa/auth/redireservice.aspx,webmail.moe.gov.sa,Saudi Arabia
https://webmail.moe.gov.sa/owa/auth/redirectcache.aspx,webmail.moe.gov.sa,Saudi Arabia
https://gis.moei.gov.ae/petrol.aspx,gis.moei.gov.ae,United Arab Emirates
https://gis.moenr.gov.ae/petrol.aspx,gis.moenr.gov.ae,United Arab Emirates
https://m.murasalaty.moenr.gov.ae/signproces.aspx,m.murasalaty.moenr.gov.ae,United Arab Emirates
https://mail.mofa.gov.iq/owa/auth/RedirSuiteService.aspx,mail.mofa.gov.iq,Iraq
http://ictinfo.moict.gov.jo/DI7Web/libraries/aspx/RegStructures.aspx,ictinfo.moict.gov.jo,Jordan
http://www.mpwh.gov.jo/_layouts/CreateAdAccounts.aspx,www.mpwh.gov.jo,Jordan
https://mail.mygov.ae/owa/auth/owalogin.aspx,mail.mygov.ae,United Arab Emirates
https://ksa.olayan.net/owa/auth/signin.aspx,ksa.olayan.net,Saudi Arabia
https://mail.omantourism.gov.om/owa/auth/GetTokenId.aspx,mail.omantourism.gov.om,Oman
https://email.omnix-group.com/owa/auth/signon.aspx,email.omnix-group.com,United Arab Emirates
https://mail.orange-jtg.jo/OWA/auth/signin.aspx,mail.orange-jtg.jo,Jordan
http://fwx1.petra.gov.jo/SEDCOWebServer/global.aspx,fwx1.petra.gov.jo,Jordan
http://fwx1.petranews.gov.jo/SEDCOWebServer/content/rtl/QualityControl.aspx,fwx1.petranews.gov.jo,Jordan
https://webmail.presflt.ae/owa/auth/logontimeout.aspx,webmail.presflt.ae,United Arab Emirates
https://webmail.qchem.com/OWA/auth/RedirectCache.aspx,webmail.qchem.com,Qatar
https://meet.saudiairlines.com/ClientResourceHandler.aspx,meet.saudiairlines.com,Saudi Arabia
https://mail.soc.mil.ae/owa/auth/expirepw.aspx,mail.soc.mil.ae,United Arab Emirates
https://email.ssc.gov.jo/owa/auth/signin.aspx,email.ssc.gov.jo,Jordan
https://mail.sts.com.jo/owa/auth/signout.aspx,mail.sts.com.jo,Jordan
http://www.sts.com.jo/_layouts/15/moveresults.aspx,www.sts.com.jo,Jordan
https://mail.tameen.ae/owa/auth/outlooklogon.aspx,mail.tameen.ae,United Arab Emirates
https://webmail.tra.gov.ae/owa/auth/outlookdn.aspx,webmail.tra.gov.ae,United Arab Emirates
http://bulksms.umniah.com/gmgweb/MSGTypesValid.aspx,bulksms.umniah.com,Jordan
https://evserver.umniah.com/index.aspx,evserver.umniah.com,Jordan
https://email.umniah.com/owa/auth/redirSuite.aspx,email.umniah.com,Jordan
https://webmail.gov.jo/owa/auth/getidtokens.aspx,webmail.gov.jo,Jordan
https://www.tra.gov.ae/signin.aspx,www.tra.gov.ae,United Arab Emirates
https://www.zakatfund.gov.ae/zfp/web/tofollowup.aspx,www.zakatfund.gov.ae,United Arab Emirates
https://mail.zayed.org.ae/owa/auth/espw.aspx,mail.zayed.org.ae,United Arab Emirates
https://mail.primus.com.jo/owa/auth/getidtoken.aspx,mail.primus.com.jo,Jordan

Recursos extras

https://www.fireeye.com/blog/threat-research/2017/12/targeted-attack-in-middle-east-by-apt34.html

https://www.fireeye.com/blog/threat-research/2017/12/targeted-attack-in-middle-east-by-apt34.html

https://www.zdnet.com/article/source-code-of-iranian-cyber-espionage-tools-leaked-on-telegram/

https://www.cfr.org/interactive/cyber-operations/apt-34

Como siempre decimos, esperamos que os haya gustado, para más información en tiempo real os recordamos que disponemos de los canales oficiales en Telegram, y, sin más… hasta el mes que vieneeeeeeeeeeee!

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Acerca de Luis Diago de Aguilar

Cyber Threat Intelligence Analyst | Derecho de la Red & t.me/cti_espana | Programador | Cibercooperante

Categoría

Artículos, CiberInteligencia, Cyber, Noticia, Recursos

Etiquetas

,