江苏龙网

  1. 首页 > 资讯 > 科技 > >

互联网|伊朗APT 35黑客组织40GB教学视频泄露


IBM X-Force Incident Response Intelligence Services (IRIS)研究人员在5月发现了伊朗黑客组织APT 35 (Charming Kitten、Phosphorous或ITG18)的一个在线服务器 , 该服务器是一个虚拟私有云服务器 , 由于安全设置错误配置导致暴露在互联网上 。 该服务器上有多个APT 35的域名 , 上面还保存着超过40GB的数据 。
数据中包括接近5小时的视频会议信息 , 这些视频主要是用于培训黑客 。 从视频来看 , 其中部分受害者包括美国和希腊海军的个人账号、以及针对美国官员的钓鱼攻击活动 。
培训视频
研究人员发现的视频文件是一个名为Bandicam的桌面录屏软件录制的视频文件 , 时长在2分钟到2小时之间 。 文件的时间戳表明视频是在上传到APT 35服务器的前一天录制的 。 Bandicam 录制的视频中的APT 35运营者桌面如下所示:
互联网|伊朗APT 35黑客组织40GB教学视频泄露
本文插图

图 1: Bandicam 录制的视频中的APT 35运营者桌面
视频文件中的5个名为“AOL.avi”、“Aol Contact.avi”、“Gmail.avi”、“Yahoo.avi”和“Hotmail.avi” , 运营者使用含有每个平台凭证的Notepad文件 , 一个视频一个视频的复制粘贴到相关的网站上 。 运营者还证明了如何从这些平台上窃取不同的数据集 , 包括联系人、照片和相应的云存储 。

此外 , 运营者还修改了每个账号的账号安全设置来增加一个Zimbra账号 , Zimbra是一个合法的邮件聚合平台 。 通过该平台 , 运营者可以同事监控和管理不同的被黑的邮件账号 。
互联网|伊朗APT 35黑客组织40GB教学视频泄露
本文插图

图 2: APT 35运营者同步个人账号到Zimbra
其中一些账户好像是攻击者的个人账户 。
攻击者拥有的账户
从教学视频来看 , 可以发现其中一些与攻击者相关的个人账号 , 比如伊朗国家代码开头的手机号 。 IBM X-Force IRIS分析认为Yahoo.avi 视频中的个人信息并不是一个真实存在的人 , 手机号为+98开头的 。
互联网|伊朗APT 35黑客组织40GB教学视频泄露
本文插图

图 3: 手机号为+98开头的个人账户
定向打击
其中3个视频表明APT 35成功入侵了美国海军人员和希腊海军官员的多个账号 。 尤其是 , APT 35好像有多个相关人员个人邮箱和社交媒体账户的凭证 。
视频表明APT 35运营者成功访问受害者账户后 , 就会主动删除发送给被黑账户的可疑登陆的通知 。 运营者在添加webmail账户凭证到Zimbra之前会导出所有的账户联系人、照片、相关云存储站点的文档 。 APT 35服务器上含有从受害者账户导出(窃取)的数据:

互联网|伊朗APT 35黑客组织40GB教学视频泄露
本文插图

图 4: APT 35服务器上的文件夹截图 , 文件夹中含有从受害者账户中窃取的数据
对非邮件账户 , 运营者会验证凭证和可能对应的站点 , 验证的站点种类包括:视频、音乐、披萨店、学生经济资助、市政、银行、婴儿产品、视频游戏、移动运营商等 。 此外 , 攻击者还收集了很多这些个人的社交信息 。 运营者对2个个人在至少75个不同的网站上验证了凭证 。
IBM X-Force IRIS研究人员目前还没有发现这2名军事人员的工作网络凭证被黑的证据 。 但攻击者也有可能在军事成员的个人文件中搜索了特定信息来使APT 35来进一步扩展对美国和希腊海军的网络监控活动 。
【互联网|伊朗APT 35黑客组织40GB教学视频泄露】APT 35活动目标和时间线

美国和希腊属于战略盟友 , 签署了近80年的多方防御合作协议 。 美军在希腊东地中海的克里特岛设有美国海军基地 。 APT 35的一些目标类型在过去3年间是持续的 , 但也有一些目标是与特定的地缘政治事件相关的 。 比如 , APT 35在过去3年里持续攻击与伊朗关联的个人 , 2018年该组织还攻击了与美国外国资产控制办公室(负责组织和实施经济制裁)有关联的个人 。 这一时机与美国扩大对伊朗的制裁完全吻合 。 2020年4约 , APT 35攻击了与伊朗的COVID-19的爆发相关的药品管理联盟 。 APT 35攻击目标时间线如下所示:


推荐阅读


上一篇:陆军|山本特种部队战斗力有多强双方第一次交手,就打乱楚云飞的阵脚

下一篇:情感|无论男女,都需要知道这四条两性相处的潜规则