当前位置:首页 > 信息公开 > 正文内容

黑客泄露APT 34组织工具、成员信息,扬言更多秘密将持续曝光

xmd53年前 (2019-04-22)信息公开6632492

网络安全世界,黑吃黑的情况并不少见。2017年,Shadow Brokers入侵了美国NSA下属黑客组织Equation Group,下载了大量工具在网上售卖,永恒之蓝工具包就是其中之一,这也直接导致了后来的 WannaCry 事件。

近期,有匿名黑客开始泄露伊朗间谍组织APT 34(OilRig 或者 HelixKitten) 所使用的黑客工具,甚至还包括团队成员及受害者数据信息等等。虽然目前来看所泄露的工具并没有永恒之蓝如此复杂,但依然引发了大量安全研究者的持续关注。

从3月份开始,有人开始以“Lab Dookhtegan”这个名字在Telegram频道中分享这些数据,截止笔者发稿之时,已经有接近2500人密切关注该频道发布的内容。

显然,该匿名者试图让这些信息和黑客工具传播地更广泛,从4月份开始,以同样的ID创建了Twitter账号,同时发布几条动态让更多人关注其所泄露的信息。

在不断放出工具及黑客成员、受害者敏感信息的同时,发布者还不忘宣泄自己对伊朗政权的情绪:“我们在此曝光残忍无情的伊朗情报部攻击伊朗邻国所使用的网络工具(APT34/OILRIG),包括残酷的管理人员以及这些网络攻击的活动及目标信息。我们希望其他伊朗公民行动起来,揭露这个政权真正的丑恶嘴脸!”

截止目前,该匿名者已经放出了6款黑客工具:

1.Glimpse(基于PowerShell的的新版木马,Palo Alto Networks命名为BondUpdater)

2.PoisonFrog(旧版BondUpdater)

3.HyperShell(称之为TwoFace的Palo Alto Networks网络外壳)

4.HighShell(另一个Web shell)

5.Fox Panel(钓鱼工具包)

6.Webmask(DNS隧道,DNSpionage背后的主要工具)

研究人员还检查了两个Web shell,发现在HyperShell中一个名为“p”的cookie需要正确的密码才能获得访问权限。此外,Dookhtegan把所有最有意义的密码都改为了“Th!sNotForFAN”。

有安全专家证实,这些泄露的工具及信息确实跟APT 34组织有关联。Dookhtegan公布的信息还包括66个APT34组织受害者,主要是中东地区的政府机构和金融、能源等企业 ,这与之前所掌握关于APT 34组织的情况相符。

在关于受害者阿联酋总统事务部(mopa.ae)的信息中,还包括约900个用户名和密码以及80多个网络邮件访问凭证。迪拜媒体公司的文档中包括250多个凭证集。阿提哈德航空公司信息中包括1万个用户名和明文密码,且是通过Windows密码恢复工具的“高级版本”破解获取的。其它文件包括服务器信息、数据库转储以及Mimikatz后利用工具的输出数据。

上图所展示的内容是Dookhtegan 通过telegram 频道发布的所有内容,包括黑客工具、部分web shell及黑客成员资料等,并且还透露“我们有关于伊朗情报部及其管理人员罪行的更多秘密信息,我们将继续揭露他们。”

4月18日,Dookhtegan 放话称,此后每隔几天都将发布一名工作人员的真实信息或者情报部门的秘密。同时也附上了一名APT 34组织黑客成员照片,还包括姓名、电话。

无疑,这次泄露事件对于APT 34组织来说,是一次沉重的打击。各大安全组织和机构也都在积极研究这些工具,以防未来受到同样手段的攻击,这也意味着APT 34将有必要对目前所使用的工具进行修改或者采用新的技术手段。同时,在近期也可能会出现其他黑客组织使用这些工具进行攻击活动,来伪装成APT 34组织。

而Dookhtegan通过Telegram还将泄露多少机密信息,势必会引发大量安全研究者及机构的持续关注。

目前所泄露所有内容打包下载地址:

https://s3-eu-west-1.amazonaws.com/malware-research.org/blogposts/apt34Leak/apt34leak.7z

解压密码:vJrqJeJo2n005FF*

本文标题:黑客泄露APT 34组织工具、成员信息,扬言更多秘密将持续曝光
本文链接:https://xmd5.pw/2019/04/59/
作者授权:除特别说明外,本文由 xmd5 原创编译并授权 中国黑色幽灵小组官网 刊载发布。
版权声明:本文不使用任何协议授权,您可以任何形式自由转载或使用。

扫描二维码推送至手机访问。

版权声明:本文由中国黑色幽灵小组官网发布,如需转载请注明出处。

本文链接:https://xmd5.pw/2019/04/59/

相关文章

新型DDos攻击:利用LDAP服务器实现攻击放大

新型DDos攻击:利用LDAP服务器实现攻击放大

说到网络安全,你一定会想起前不久的DDoS攻击“Mirai”,导致美国半数的互联网瘫痪,你一定会觉得那很牛掰吧,但其实这并不算什么,要让DDoS攻击力更彪悍,现在有一种新方法了。LDAP据Corero...

2016年3例严重工控安全事故经验教训总结

2016年3例严重工控安全事故经验教训总结

 如今,随着物理控制和电子系统的高度集成,在严峻的安全威胁形势下,工业控制系统(ICS)安全事关国家关键基础设施安全和民生安全,必须大力加强安全管理。在此,我们就2016年三次主要ICS事件...

FBI和DHS发布联合报告,奥巴马对俄罗斯涉嫌干预美国大选进行制裁!

FBI和DHS发布联合报告,奥巴马对俄罗斯涉嫌干预美国大选进行制裁!

美国联邦调查局(FBI)和国土安全部(DHS)于12月29日发布了一份解密报告,报告中详细分析了俄罗斯如何干预美国大选。报告中分析了两起独立的入侵事件,这两起有俄罗斯背景的黑客事件分别发生在2015年...

工信部发布《互联网域名管理办法》 11月1日起施行

工信部发布《互联网域名管理办法》 11月1日起施行

中华人民共和国工业和信息化部令  第43号  《互联网域名管理办法》已经2017年8月16日工业和信息化部第32次部务会议审议通过,现予公布,自2017年11月1日起施行。原信息产业部2004年11月...

微信仓促更新,黑产加速圈钱,“微信号”黑市规模接近40亿

微信仓促更新,黑产加速圈钱,“微信号”黑市规模接近40亿

    在这次微信的更新中,长按公众号文章会出现“未完成的功能”字样,此次改版在还“未完成”状态仓促上马,说明张小龙背负着越来越重的商业变现压力。讽刺的是,就在张小龙眼皮底下,有那...

维基解密创始人阿桑奇被捕:世界将再次失去一名说真话的男人

维基解密创始人阿桑奇被捕:世界将再次失去一名说真话的男人

世界将再次失去一名说真话的男人。据BBC网站报道,维基解密(Wikileaks)联合创始人朱利安·阿桑奇(Julian Assange)在厄瓜多尔驻伦敦大使馆被捕。维基解密(WikiLeaks),是通...

网络安全等级保护工作流程

网络安全等级保护工作流程

2017年6月1日《网络安全法》正式实施,网络安全等级保护进入有法可依的2.0时代,网路安全等级保护系列标准于2019年5月陆续发布,12月1日起正式实施,标志着等级保护正式迈入2.0时代。网络安全等...

美国政府揭露APT38新型后门恶意软件,可自动消除入侵痕迹

美国政府揭露APT38新型后门恶意软件,可自动消除入侵痕迹

美国政府机构今日发布一份恶意软件分析报告,揭露了朝鲜黑客攻击政府承包商过程中使用的远程访问木马恶意软件。该恶意软件由美国CISA和FBI发现,被称为BLINDINGCAN。CISAO和FBI认为该木马...

NTA在攻防演练中的实战与应用

NTA在攻防演练中的实战与应用

攻防演练中,不论攻击成功与否,攻击行为的载体只可能是网络流量。因此,网络流量监测与分析技术可以说是蓝军的一张王牌,通过对正常业务与威胁行为模式进行建模,能够在第一时间发现入侵事件,甚至还原整个攻击流程...