_Insikt Group® researchers used proprietary methods, including Recorded Future Network Traffic Analysis and Recorded Future Domain Analysis, along with common analytical techniques, to profile Iranian cyberespionage threat actor APT33 (Elfin) and determine whether the public exposure of their TTPs in March 2019 impacted their operations.

Data sources include the Recorded Future® Platform, Farsight Security’s DNSDB, ReversingLabs, VirusTotal, Shodan, and common OSINT techniques.

This report will be of greatest interest to those interested in Middle Eastern geopolitics, as well as network defenders of organizations with a presence in the Middle East or in industries targeted by APT33, such as aerospace and defense, energy, finance, telecommunications, and manufacturing.

This research is based on data collected between February 10, 2019 and June 6, 2019._

Executive Summary

Les États-Unis et l'Iran continuent d'exacerber les tensions, récemment en intensifiant leurs discours et leurs actions dans le détroit d'Ormuz, mais également dans le cyberespace. Insikt Group Au cours des trois derniers mois, le service de renseignements sur les menaces informatiques de la division de sécurité de Microsoft ( Recorded Future) a observé une augmentation des activités de développement d'infrastructures et de ciblage de l'APT33 (également connu sous le nom d'Elfin). Le 21 juin 2019, Yahoo! News a rapporté que le Cyber Command américain avait lancé des cyberattaques contre un « groupe d'espionnage iranien ».

L'acteur malveillant APT33, soutenu par l'État iranien, mène des activités de cyberespionnage depuis au moins 2013, visant principalement les pays du Moyen-Orient, mais aussi, de manière notable, des entités commerciales américaines, sud-coréennes et européennes dans un large éventail de secteurs.

Les chercheurs d'Insikt Group ont utilisé des méthodes exclusives, notamment l'analyse de domaine Recorded Future et l'analyse du trafic réseau Recorded Future, ainsi que d'autres approches analytiques courantes, pour établir le profil du domaine et de l'infrastructure d'hébergement de l'acteur malveillant iranien APT33 récemment signalé, dans le but d'identifier ses activités récentes et de mieux comprendre ses tactiques, techniques et procédures (TTP).

Our research found that APT33, or a closely aligned threat actor, continues to conduct and prepare for widespread cyberespionage activity, with over 1,200 domains used since March 28, 2019 and with a strong emphasis on using commodity malware. Commodity malware is an attractive option for nation-state threat actors who wish to conduct computer network operations at scale and hide in plain sight among the noise of other threat actor activities, thus hindering attribution efforts.

Le ciblage d'organisations principalement saoudiennes dans un large éventail de secteurs correspond aux schémas historiques de ce groupe, qui ne semble pas avoir été découragé par les révélations précédentes concernant ses activités. Les organisations occidentales et saoudiennes, tant du secteur public que privé, actives dans les secteurs qui ont historiquement été ciblés par APT33, devraient surveiller les développements géopolitiques et renforcer les contrôles de sécurité opérationnelle en mettant l'accent sur la détection et la correction des accès non autorisés initiaux, en particulier ceux provenant de campagnes de phishing, de webshells et de relations avec des tiers (fournisseurs et prestataires). De plus, il est recommandé d'utiliser des informations de sécurité en temps réel afin d'améliorer la détection dans le réseau interne et la télémétrie basée sur les hôtes.

Key Judgments

• En réponse à la publication des opérations fin mars 2019, les domaines associés aux activités présumées d'APT33 ont été mis en attente ou transférés vers de nouveaux hébergeurs.
• APT33, or a closely aligned threat actor, continues to control C2 domains in bulk.
  • Over 1,200 domains have been in use since March 28, 2019 alone.
  • 728 of these were identified communicating with infected hosts.
  • 575 of the 728 domains were observed communicating with hosts infected by one of 19 mostly publicly available RATs.
• Almost 60% of the suspected APT33 domains that were classified to malware families related to njRAT infections, a RAT not previously associated with APT33 activity. Other commodity RAT malware families, such as AdwindRAT and RevengeRAT, were also linked to suspected APT33 domain activity.
• We assess with medium confidence that APT33, or a closely aligned threat actor, has targeted the following organizations since the disclosures in late March:
  • A conglomerate headquartered in Saudi Arabia, with businesses in the engineering and construction, utilities, technology, retail, aviation, and finance sectors
  • Two Saudi healthcare organizations
  • A Saudi company in the metals industry
  • An Indian mass media company
  • A delegation from a diplomatic institution
• We assess that the recent reporting on links between the Nasr Institute and Kavosh Security Group, as well as technical and persona analysis, overlaps among APT33, APT35, and MUDDYWATER, and is probably a result of the tiered structure that Iran utilizes to manage cyber operations.

Background

APT33 est un acteur malveillant soutenu par l'État iranien qui mène des activités de cyberespionnage depuis au moins 2013. Ils ont généralement recours à des logiciels malveillants courants et disposent d'une infrastructure réseau étendue qui leur permet d'adapter leurs opérations en fonction des victimes ciblées. Historiquement, ces attaques ont principalement visé les secteurs de l'aérospatiale et de la défense, ainsi que l'industrie pétrolière et gazière, en particulier les entreprises basées en Arabie saoudite. Le rapport Elfin de Symantec a mis en évidence une intensification des attaques visant les secteurs de l'ingénierie, de la chimie, de la recherche, de la finance, de l'informatique et de la santé. Recorded Future Insikt Group, a surveillé les activités d'APT33 depuis la publication de ses recherches en octobre 2017, qui ont révélé de nouvelles infrastructures, des hachages de logiciels malveillants et des TTP liés à ce ou ces acteurs malveillants.

Threat Analysis

Le 27 mars 2019, Symantec a publié une étude intitulée «Elfin : un groupe d'espionnage implacable cible plusieurs organisations en Arabie saoudite et aux États-Unis ».Ce rapport décrit une campagne de cyberespionnage menée pendant trois ans par APT33. À l'aide des adresses IP et des hachages de logiciels malveillants fournis dans cette étude, les chercheurs d'Insikt Group ont mené une analyse complémentaire des domaines malveillants utilisés par APT33 afin de déterminer deux éléments :

1. Whether or not APT33 had continued their activities, and if so, if they had changed TTPs in response to the publication
2. Whether or not there were any previously unreported historic activities conducted by the group that were worthy of publication

Nasr Institute and Kavosh Redux

In our previous report, “Iran’s Hacker Hierarchy Exposed,” we concluded that the exposure of one APT33 contractor, the Nasr Institute, by FireEye in 2017, along with our intelligence on the composition and motivations of the Iranian hacker community, pointed to a tiered structure within Iran’s state-sponsored offensive cyber program. We assessed that many Iranian state-sponsored operations were directed by the Iranian Revolutionary Guard Corps (IRGC) or the Ministry of Intelligence and Security (MOIS).

According to a sensitive Insikt Group source who provided information for previous research, these organizations employed a mid-level tier of ideologically aligned task managers responsible for the compartmentalized tasking of over 50 contracting organizations, who conducted activities such as vulnerability research, exploit development, reconnaissance, and the conducting of network intrusions or attacks. Each of these discrete components, in developing an offensive cyber capability, were purposefully assigned to different contracting groups to protect the integrity of overarching operations and to ensure the IRGC and/or MOIS retained control of operations and mitigated the risk from rogue hackers.

Obfuscating Iranian government involvement in offensive campaigns.

FireEye a également indiqué dans son rapport de 2017 que le pseudonyme « xman_1365_x », trouvé dans le chemin PDB d'un échantillon de porte dérobée APT33 TURNEDUP, appartenait à un individu du Nasr Institute. Le même identifiant a ensuite été associé à des opérations malveillantes utilisant les familles de logiciels malveillants NewsBeef et StoneDrill. En mars 2017, des chercheurs ont établi un lien entre StoneDrill et l'opération Shamoon 2 ainsi qu'avec le groupe APT35 (également connu sous les noms Charming Kitten, Newscaster ou NewBeef).

Our previous analyses showed that the person behind the “xman_1365_x” handle self-identified on Iranian hacking forums as Mahdi Honarvar from Mashhad, with speculation that he was also affiliated with the Kavosh Security Center since around 2017.

Le rôle de Kavosh au sein de l'écosystème cyber iranien a été davantage mis en lumière par la récente analyse du Groupe-IB, qui a révélé que Kavosh était l'employeur de « Nima Nikjoo » entre 2006 et 2014. Leur analyse a conclu qu'une campagne menée en mars 2019 contre un fabricant turc d'équipements électroniques militaires avait été perpétrée par un autre acteur malveillant iranien, MUDDYWATER. MUDDYWATER a utilisé la porte dérobée POWERSTATS, qui s'est propagée dans des documents malveillants contenant des métadonnées révélant que l'auteur était « Gladiyator_CRK », dont le nom pourrait être « Nima ». De plus, une adresse électronique présumée liée, «gladiyator_cracker@yahoo.com », était associée à « نیما نیکجو », qui se traduit par « Nima Nickjou », dans un blog de 2014 qui révélait les noms et adresses électroniques de personnes prétendument employées par l'Institut Nasr. Un autre blog de recherche rédigé sous le pseudonyme « 0xffff0800 » a corroboré certaines de ces conclusions et a révélé que « Nima Nikjoo » était en réalité « Nima Nikjoo Tabrizi ».

LinkedIn profile picture of suspected APT33 threat actor Nima Nikjoo Tabrizi. (Accessed on June 14, 2019)

Who Is Nima Nikjoo Tabrizi?

OSINT reveals there is an active Linkedin account and other active social media accounts in the name of Nima Nikjoo Tabrizi, claiming that he is a reverse engineer and malware analyst at Symantec. Symantec, however, has confirmed to Recorded Future that Tabrizi has never worked for them:

"We have been aware of this individual for a long time. Nima Nikjoo is not a Symantec employee and we have no record of an individual by this name working at Symantec."

Ayant été exposé à son travail pour l'Institut Nasr, une organisation gouvernementale, et le Centre de sécurité Kavosh, qui entretient des liens étroits avec les activités de cyberespionnage soutenues par l'État iranien, nous estimons avec un haut degré de certitude que M. Tabrizi est impliqué dans des activités de cyberespionnage pour le compte de l'État iranien.

Employment history of suspected APT33 threat actor Nima Nikjoo Tabrizi.

Based on this information, it is possible that upon the exposure of the Nasr Institute as a front for Iranian state-sponsored offensive cyber activity, employees transitioned over to other entities, such as Kavosh, to protect their identities and minimize further exposure. There were no further widely reported exposures relating to the Nasr Institute until the links between Mahdi Honarvar to Kavosh Security Center were revealed in 2017. Therefore, we assess that the overlapping technical and personal information points to a historic linkage between the threat actors APT33, APT35, and MUDDYWATER.

Ces chevauchements techniques et personnels entre les acteurs malveillants iraniens ne sont pas surprenants compte tenu de la structure hiérarchisée de la gestion des cyberopérations par l'État iranien. Au sein de cette structure, nous avons constaté que les responsables gèrent plusieurs équipes, dont certaines sont associées à des organismes gouvernementaux et d'autres à des entreprises privées sous contrat (telles que l'équipe ITSec).

Analyse technique

APT33 Cleaning Up?

Starting with the APT33 indicators documented by Symantec, Insikt Group profiled the domain and hosting infrastructure used by the group using the Farsight Security extension within the Recorded Future platform, revealing updated IP resolutions for some of the domains.

As expected, many of the domains exposed in the original Symantec report have been parked or no longer resolve to a real IPv4 address. Interestingly, four of the original domains (backupnet.ddns[.]net, hyperservice.ddns[.]net, servhost.hopto[.]org, and srvhost.servehttp[.]com) were all updated the day after publication, and resolve to the same IP, 95.183.54[.]119. This IP is registered to Swiss-dedicated hosting provider Solar Communications GmBH. It is unclear as to why these domains were not likewise parked. Possible reasons include:

• The domains were deemed high value by the threat actor, and therefore retained for continued operational purposes.
• The operators had difficulty with or could not update the domains for administrative reasons.

Recorded Future Intelligence Card™ for microsoftupdated[.]com, enriched using the Farsight Security extension.

In order to identify additional related and potentially malicious infrastructure, we pivoted on the Swiss IP 95.183.54[.]119 and identified approximately 40 domains that were newly resolving to the IP since mid-February 2019. We positively identified RAT malware communication from a selection of domains.

De plus, de nombreux domaines qui ont été redirigés vers l'adresse IP suisse ont été enregistrés avec des noms d'hôte reflétant les noms de RAT courants, tels que XTreme RAT, xtreme.hopto[.]org, etc. et njRAT (njrat12.ddns[.]net), ainsi que des outils populaires tels que Netcat (n3tc4t.hopto[.]com). Il est intéressant de noter qu'un domaine usurpe l'identité d'une chaîne Telegram populaire en farsi appelée BistBots (bistbotsproxies.ddns[.]net). était également hébergé sur la même adresse IP. Nous estimons que cela indique probablement une volonté de cibler les utilisateurs de BistBots qui recherchent des proxys Internet rapides et à jour, peut-être pour contourner le filtrage du réseau et accéder à des sites tels que Facebook, Twitter et YouTube, qui sont restreints en Iran.

Further analysis of the domains above, including windowsx.sytes[.]net, njrat12.ddns[.]net, and wwwgooglecom.sytes[.]net shows that they have been classified as C2s for Nanocore and njRAT, according to their respective Recorded Future Intelligence Cards™. The information detailed are correlations derived from hash reports from malware multiscanner repositories and malware detonations that contain direct references to the domains.

Interestingly, while the Symantec research noted APT33’s use of Nanocore, njRAT was not mentioned, which indicates a previously unknown addition to the group’s ever-expanding repertoire of commodity malware.

Context panel from the Recorded Future Intelligence Card™ for windowsx.sytes[.]net, showing the relationship between the domain and the Nanocore RAT malware.

The Maltego chart below shows the link analysis of selected domains hosted on the Swiss IP, with derived hashes associated with malware family name.

Maltego graph of domains hosted on the known malicious APT33-linked IP.

Deeper Infrastructure Correlations

Insikt Group enumerated all domains reported as being used by APT33 since January 2019. We pivoted through common infrastructure hosting patterns using passive DNS and similar approaches to identify additional suspected APT33 infrastructure.

A preliminary analysis identified 1,252 unique, correlated domains likely administered by the same APT33 attackers behind the campaign documented by Symantec. Of these, 728 domains were identified as communicating with files on infected hosts, with 575 of these positively correlated to a RAT malware family. The remaining 153 domains were identified as malicious based on AV engine hits but could not be conclusively classified to a specific malware family automatically.

Editor’s NoteUne sélection des domaines, hachages et infrastructures d'adresses IP associés connectés aux domaines suspects APT33 sera bientôt mise à la disposition des clients de Recorded Future dans un ensemble de données certifié spécialisé appelé « Weaponized Domains » (Domaines militarisés), permettant aux entreprises de réguler les interactions avec les infrastructures malveillantes gratuites/anonymes, y compris les domaines DNS dynamiques (DDNS).

Pie chart of suspected APT33 malware use.

A top-level activity breakdown of these suspected APT33 domains and their linked malware families since March 28, 2019 reveals that 60% of the domains use the njRAT malware, with a wide selection of other commodity tools being used. In total, 1,804 unique malware hashes were analyzed to classify them into the 19 malware families, listed below.

From the table and the accompanying chart, we noted that APT33, or a closely aligned threat actor, have been prolific in their continued use of commodity malware and publicly available tooling, and have added several malware families previously unreported to be associated with the threat actor, including njRAT, RevengeRAT, and AdwindRAT. A significant proportion of the samples (25%), while deemed malicious, contained generic code that could not be definitively classified at a high enough degree of confidence to warrant further manual static analysis. We will continue to focus closely on these samples in subsequent analyses.

De nombreux domaines ont été identifiés comme usurpant l'identité de fournisseurs technologiques mondiaux tels que Microsoft et Google, ainsi que de services Web destinés aux entreprises, tels que le fournisseur de visioconférence Zoom. Des domaines liés à la géopolitique figuraient également dans cette liste d'infrastructures présumées appartenir à APT33, tels que vichtorio-israeli.zapto[.]org. (Victoire à Israël), fucksaudi.ddns[.]com et palestine.loginto[.]me. Le choix des noms d'hôte peut donner un aperçu des cibles privilégiées par APT33 dans le cadre de ses opérations contre les ennemis présumés de la République islamique d'Iran, notamment Israël, l'Arabie saoudite et les pays du Conseil de coopération du Golfe (CCG) dans leur ensemble.

Selection of hashes correlated with suspected APT33 malicious domains. Recorded Future clients will be able to access the full list of domains in the Certified Data Set via API download.

Targeted Organizations

Using data from Recorded Future Domain Analysis and combining it with data derived from Recorded Future Network Traffic Analysis, Insikt Group researchers were able to identify a small selection of likely targeted organizations impacted by suspected APT33 activity.

Outlook

Following the exposure of a wide range of their infrastructure and operations by Symantec earlier this year, we discovered that APT33, or closely aligned actors, reacted by either parking or reassigning some of their domain infrastructure. The fact that this activity was executed just a day or so after the report went live suggests the Iranian threat actors are acutely aware of the media coverage of their activities and are resourceful enough to be able to react in a quick manner.

Since late March, suspected APT33 threat actors have continued to use a large swath of operational infrastructure, well in excess of 1,200 domains, with many observed communicating with 19 different commodity RAT implants. An interesting development appears to be their increased preference for njRAT, with over half of the observed suspected APT33 infrastructure being linked to njRAT deployment.

While we haven’t observed a widespread targeting of commercial entities or regional adversaries like in previously documented APT33 operations, the handful of targeted organizations that we did observe were mainly located in Saudi Arabia across a range of industries, indicating ongoing targeting aligned with geopolitical aims. We assess that the large amount of infrastructure uncovered in our research is likely indicative of wider ongoing operational activity, or the laying of groundwork for future cyberespionage operations. We recommend organizations take measures to monitor their networks for evidence of suspected APT33 activity by following the guidance in the “Network Defense Recommendations” section below.

Finally, our recommendation to Recorded Future clients is to use our upcoming “Weaponized Domains” Certified Data Set, which has been derived from predictive analytics that assist in the identification of malicious APT infrastructure. This is meant to empower your security teams to hunt, detect, and block high-fidelity malicious indicators at scale.

Network Defense Recommendations

Recorded Future recommends that organizations conduct the following measures in order to detect and mitigate suspected APT33 activity:

• Configure your intrusion detection systems (IDS), intrusion prevention systems (IPS), or any network defense mechanisms in place to alert on — and upon review, consider blocking illicit connection attempts from — the external IP addresses and domains listed in Appendix A.
• Comme indiqué dans notre précédent article de blog sur APT33, accessible uniquement à nos clients, le DNS dynamique (DDNS) reste un point de contrôle opérationnel important pour la mise en œuvre des mesures de sécurité. Tout le trafic réseau TCP/UDP impliquant des sous-domaines DDNS doit être bloqué et consigné (à l'aide de DNS RPZ ou d'un système similaire).
• Conduct regular Yara scans across your enterprise for the new rules listed in Appendix B.

To view a full list of the associated indicators of compromise, download the appendix.