安全研究人员锁定chaplin.exe--攻击伊朗三家钢铁制造企业的恶意软件

Collège Georges Braque – Paris 13ème

 

黑客组织Gonjeshke Darande报告了对伊朗三家钢铁生产商的网络攻击:它们分别是Khouzestan Steel Company(KSC)、Mobarakeh Steel Company (Isfahan)(MSC)、Hormozgan Steel Company(HOSCO)。攻击者还发布了来自内部系统的后果视频和屏幕截图以表示对攻击后果的确认。该组织通过公司受到制裁这一事实来激励目标的选择,但尽管如此,他们仍在继续工作。据称,这些袭击是对伊朗侵略的回应(未具体说明)。这些帖子还强调,进行网络攻击是为了让无辜的人不会受苦。

 

号外!伊朗三家钢铁生产企业遭受重大网络攻击而导致部分停产

随着这起对伊朗战略冶金设施——Hormozgan Steel、Khouzestan Steel 和 Mobarakeh Steel——的毁灭性网络攻击事件的研究,更多的的细节被逐步披露。

Treadstone 71公司的研究人员能够找到与攻击相关的文件,初步分析表明,被称为卓别林的恶意软件也与去年对伊朗铁路的攻击直接相关。CheckPomit研究团队给出了一些分析研判的证据和结论。

Chaplin.exe可执行文件是Meteor的变体,Meteor是一种在伊朗铁路和政府的攻击中出现的毒蛇。两者共享一个共同的代码库,但卓别林与Meteor及其先前的变体Stardust和Comet不同,缺乏清理功能。

此外,Chaplin不包含调试日志,但包含有关RTTI的重要信息。它通过禁用网络适配器、注销用户并在新的Screen.exe线程中执行二进制文件来开始执行。

该文件强制打开显示器,阻止用户与计算机交互,并使用Filter Graph Manager COM对象播放video.wmv,并删除“Lsa”注册表项,从而阻止系统正常启动。

单帧视频与黑客在社交媒体上上传的一张照片相匹配,显示了掠夺性麻雀(Predatory Sparrow)受害者的标志:相关的受害者有Khouzestan Steel Company (KSC)、伊朗石油公司、道路和城市发展部、伊朗铁路。

与之前的事件一样,黑客留下了一个属于伊朗最高领导人办公室的电话号码以供联系。

目前尚不清楚卓别林是否有任何模块可以使其与Khouzestan Steel的OT网络上的工业设备进行交互。

从黑客提供的视频来看,Certfa Labs的研究人员认为,与工厂工业设备的交互可以通过另一个渠道进行——通过Irisa拥有的控制面板,该控制面板为伊朗公司提供网络服务和工业基础设施。

同时,专家们并不排除Gonjeshke Darande可能仍然可以访问其他组织的网络。

Treadstone71LLC专门从事网络情报、反情报、影响行动、网络行动、OSINT、秘密网络、HUMINT、网络情报和OSINT 培训和分析、网络心理战、战略情报、开源情报收集、分析写作、结构化分析技术、目标对手研究、网络反情报、战略情报分析、估计情报、预测情报、预警情报、威胁情报等工作。

 

参考资源

1、https://cybershafarat.com/2022/07/03/attack-on-iranian-steel-producers/

2、https://twitter.com/_CPResearch_/status/1541753927208767490

3、https://bazaar.abuse.ch/sample/2c73bf092e2638a1aeabd34d0d9b3500c8fa1b02dd55cb8b20d5d80edea85fbc/#file_info

(完)