Este es el tercer mes en el que analizamos grupos de amenazas persistentes relevantes para el panorama englobado en el contexto actual. Por ello, este mes, sin duda, debía tocar un grupo de estas características… os presentamos al grupo iraní APT34.
Helix Kitten
Este actor que es de origen iraní (por si no quedaba claro…) y se le relaciona con un largo historial de operaciones de ciber espionaje. Se calcula que lleva activo desde 2014 (a pesar de que se dice que se creó sobre el 2004) y sus objetivos están muy relacionados con los intereses del gobierno de Irán.
Algunos de los nombres que se le dan son APT34 OilRig, Cobalt Gypsy, Twisted Kitten, entre otros.
El primer artículo en el que se hace referencia a este actor data del 11 de Septiembre del 2014. Os dejamos el enlace: http://www.nationmultimedia.com/opinion/Energy-competition-in-South-China-Sea-A-front-burn-30243078.html.
Su ultima acción conocida a fecha de escribir este artículo sería el siguiente: https://www.secrss.com/articles/16441.
Durante este mes hemos tenido acceso a varias de sus herramientas, algunas antiguas, y hemos podido ver algunos de sus paneles usados en algunas de sus operaciones. Adjuntamos foto del panel.
Durante las averiguaciones tuvimos acceso a instrucciones de uso a la hora de ocultar las direcciones IPs o sobre como redireccionar los DNS. También se incluían instrucciones para realizar DDoS y una lista de servidores comprometidos con sus paneles para poder acceder a ellos en caso de ser necesario.
Incluso conseguimos unos ejemplos de Posion Frog, casualmente al tiempo que una empresa muy conocida del sector que por cierto, según VT aún no detecta como malicioso el archivo. Desde nuestro nivel noob reversing hemos detectado que hay dos ficheros (esa era fácil), uno del cliente y otro del servidor. El del servidor incluye las vistas necesarias para controlar todo por interfaz. Incluye instrucciones de uso muy detalladas… en otras palabras, cualquiera puede usarlo.
Por otro lado se han dejado unas credenciales de configuración…
Finalmente comprobamos el hash, os dejamos con él: 4b92597fc4004ab673e8ba506ed9dceb.
Al buscar en virus total nos llevó efectivamente al zip de Posion.
Y tras este pequeño análisis de los noob analistas de malware pasamos a lo que nos atañe (nota: en el apartado IOCs os dejamos una lista de shells que sacamos del análisis del archivo anterior).
Operaciones
Sus operaciones se basan en objetivos financieros, energéticos, de telecomunicaciones e industrias químicas. Infraestructuras críticas cobre todo.
Sus operaciones más conocidas son:
- xHunt. Ataques a organizaciones de envío y transporte de Kuwait: https://unit42.paloaltonetworks.com/xhunt-campaign-attacks-on-kuwait-shipping-and-transportation-organizations/
- Magic Hound. Ataques con objetivos sauditas: https://unit42.paloaltonetworks.com/unit42-magic-hound-campaign-attacks-saudi-targets/
- ShadowHammer. Inyectaban una puerta trasera en una actualización preinstalada en los ordenadores ASUS: https://www.incibe-cert.es/alerta-temprana/bitacora-ciberseguridad/herramienta-asus-infectada-operacion-shadowhammer
Malware Asociado
Este grupo de caracteriza por hacer uso de las macros en Microsoft Excel, exploits y payloads en PowerShell y el uso de la ingeniería social para ganar acceso a los objetivos.
Algunos serían:
- PowDesk. En PowerShell. Para más información os dejamos un análisis muy detallado: https://www.clearskysec.com/powdesk-apt34/
- Tonedeaf. Distribuido por LinkedIn. Más info aquí: https://www.fireeye.com/blog/threat-research/2019/07/hard-pass-declining-apt34-invite-to-join-their-professional-network.html
- Glimpse Infection Payload: https://www.fireeye.com/blog/threat-research/2019/07/hard-pass-declining-apt34-invite-to-join-their-professional-network.html
- Poison Frog: https://ironnet.com/blog/chirp-of-the-poisonfrog/
Destacamos el dato de que en algunos casos usaban LinkedIn para propagar malware.
Virus Total
Vamos a dejaros algunas referencias a este actor que hemos podido encontrar en VT de los últimos 30 días. Algunos de ellos aún no son detectados por antivirus actuales.
- https://www.virustotal.com/gui/file/9b09e4a06c8c3770783c751e1193bcd80fd86dc93e0f04d35ec1c108a3e1d8b3/detection
- https://www.virustotal.com/gui/file/10499057d09fb7382cfdbd622536f798e342fb4e418284f5e2bb1f0e17638585/detection
- https://www.virustotal.com/gui/file/b3e44bdb3fa18f3dd1c5ab062dd6a88b3a60928eaf04ac0204b4b0c5a899d456/detection
- https://www.virustotal.com/gui/file/beccb0de25063a2e3cde6797715afb2619fef8da93d173507dac2a0829051e88/detection
- https://www.virustotal.com/gui/file/7d14524b6d7bcb68d1c8a364ebf991669e2078d8c857293ad4cc66dfdfb79b2d/detection
- https://www.virustotal.com/gui/file/3046608570015e2a97192aeedf9d5311c85fb4d83bda4c8e400305adfd304930/detection
- https://www.virustotal.com/gui/file/307928b8b4f86fbc4f805c99dc987f3561ca5e57af5e7a7fcba1f0d6347b1cae/detection
- https://www.virustotal.com/gui/file/2564817f40c0246784bdd14ad3c7f627e4483f067d0526ae0463f321e0e76233/detection
- https://www.virustotal.com/gui/file/0f20995d431abce885b8bd7dec1013cc1ef7c73886029c67df53101ea330436c/detection
- https://www.virustotal.com/gui/file/084086b4975e21887e1e433a2a9ab580671e93f59b392ea19ba2d9f7b21d3aa2/detection
- https://www.virustotal.com/gui/file/390afa26ccfbdb81f82c4f7179967890f1cbc815244ee630d1afffb42d634fcc/detection
IOCs
Vamos ahora con unos cuantos IOCS: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 hosts del malware
service.chrome-up[.]date
www3.chrome-up[.]date
www7.chrome-up[.]date
timezone[.]live
service1.chrome-up[.]date
104.238.184[.]252
www5.chrome-up[.]date
servicesystem.serveirc[.]com
45.76.128[.]165
139.59.46[.]154
104.218.120[.]128
89.107.62[.]39
69.87.223[.]26
analytics-google[.]org
89.107.60[.]11
www3.chrome-up[.]date
http://www.microsoftsubsystem.com-adm[.]in
www1.chrome-up[.]date
Shells sacadas de los análisis del archivo de la amenaza
Recursos extras
https://www.fireeye.com/blog/threat-research/2017/12/targeted-attack-in-middle-east-by-apt34.html
https://www.fireeye.com/blog/threat-research/2017/12/targeted-attack-in-middle-east-by-apt34.html
https://www.zdnet.com/article/source-code-of-iranian-cyber-espionage-tools-leaked-on-telegram/
https://www.cfr.org/interactive/cyber-operations/apt-34
Como siempre decimos, esperamos que os haya gustado, para más información en tiempo real os recordamos que disponemos de los canales oficiales en Telegram, y, sin más… hasta el mes que vieneeeeeeeeeeee!
CTI Product Owner Telefónica Tech | De la comunidad para la comunidad, hagamos de la ciberseguridad española un referente | Ciberseguridad, inteligencia, defensa…