黑客泄露APT 34组织工具、成员信息,扬言更多秘密将持续曝光
网络安全世界,黑吃黑的情况并不少见。2017年,Shadow Brokers入侵了美国NSA下属黑客组织Equation Group,下载了大量工具在网上售卖,永恒之蓝工具包就是其中之一,这也直接导致了后来的 WannaCry 事件。
近期,有匿名黑客开始泄露伊朗间谍组织APT 34(OilRig 或者 HelixKitten) 所使用的黑客工具,甚至还包括团队成员及受害者数据信息等等。虽然目前来看所泄露的工具并没有永恒之蓝如此复杂,但依然引发了大量安全研究者的持续关注。
从3月份开始,有人开始以“Lab Dookhtegan”这个名字在Telegram频道中分享这些数据,截止笔者发稿之时,已经有接近2500人密切关注该频道发布的内容。
显然,该匿名者试图让这些信息和黑客工具传播地更广泛,从4月份开始,以同样的ID创建了Twitter账号,同时发布几条动态让更多人关注其所泄露的信息。
在不断放出工具及黑客成员、受害者敏感信息的同时,发布者还不忘宣泄自己对伊朗政权的情绪:“我们在此曝光残忍无情的伊朗情报部攻击伊朗邻国所使用的网络工具(APT34/OILRIG),包括残酷的管理人员以及这些网络攻击的活动及目标信息。我们希望其他伊朗公民行动起来,揭露这个政权真正的丑恶嘴脸!”
截止目前,该匿名者已经放出了6款黑客工具:
1.Glimpse(基于PowerShell的的新版木马,Palo Alto Networks命名为BondUpdater)
2.PoisonFrog(旧版BondUpdater)
3.HyperShell(称之为TwoFace的Palo Alto Networks网络外壳)
4.HighShell(另一个Web shell)
5.Fox Panel(钓鱼工具包)
6.Webmask(DNS隧道,DNSpionage背后的主要工具)
研究人员还检查了两个Web shell,发现在HyperShell中一个名为“p”的cookie需要正确的密码才能获得访问权限。此外,Dookhtegan把所有最有意义的密码都改为了“Th!sNotForFAN”。
有安全专家证实,这些泄露的工具及信息确实跟APT 34组织有关联。Dookhtegan公布的信息还包括66个APT34组织受害者,主要是中东地区的政府机构和金融、能源等企业 ,这与之前所掌握关于APT 34组织的情况相符。
在关于受害者阿联酋总统事务部(mopa.ae)的信息中,还包括约900个用户名和密码以及80多个网络邮件访问凭证。迪拜媒体公司的文档中包括250多个凭证集。阿提哈德航空公司信息中包括1万个用户名和明文密码,且是通过Windows密码恢复工具的“高级版本”破解获取的。其它文件包括服务器信息、数据库转储以及Mimikatz后利用工具的输出数据。
上图所展示的内容是Dookhtegan 通过telegram 频道发布的所有内容,包括黑客工具、部分web shell及黑客成员资料等,并且还透露“我们有关于伊朗情报部及其管理人员罪行的更多秘密信息,我们将继续揭露他们。”
4月18日,Dookhtegan 放话称,此后每隔几天都将发布一名工作人员的真实信息或者情报部门的秘密。同时也附上了一名APT 34组织黑客成员照片,还包括姓名、电话。
无疑,这次泄露事件对于APT 34组织来说,是一次沉重的打击。各大安全组织和机构也都在积极研究这些工具,以防未来受到同样手段的攻击,这也意味着APT 34将有必要对目前所使用的工具进行修改或者采用新的技术手段。同时,在近期也可能会出现其他黑客组织使用这些工具进行攻击活动,来伪装成APT 34组织。
而Dookhtegan通过Telegram还将泄露多少机密信息,势必会引发大量安全研究者及机构的持续关注。
目前所泄露所有内容打包下载地址:
https://s3-eu-west-1.amazonaws.com/malware-research.org/blogposts/apt34Leak/apt34leak.7z
解压密码:vJrqJeJo2n005FF*
