有人曝光了伊朗国家黑客组织的源代码、黑客工具、成员及受害者情况

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

一个自称为 Lab Dookhtegan 的黑客组织通过 Telegram曝光了和伊朗政府存在关联的网络间谍组织 APT 34（或称 OilRig 和 HelixKitten）的源代码、黑客工具、成员及受害者信息。

经过 Alphabeet 网络安全分支机构 Chronicle 的证实，这些被曝光数据确实和 APT34/OilRig 组织之间存在关联。

至于为何泄露这些信息的动机，一种理论认为是参与政府网络行动的伊朗政权的反对派所为。熟悉伊朗局势的消息来源表示，如果曝光消息的不是一个人，那么也不会是一个大型组织。

Chronicle 应用情报负责人 Brandon Levene 认为，泄露信息背后的一个原因是将伊朗的网络能力放在聚光灯下，另一个原因可能是通过强迫 APT34 另寻它法而阻断未来的攻击活动。

黑客组织 Dookhtegan 并未掩饰对 APT 34 的情绪，表示希望其它伊朗人能够为对抗伊朗政权做点什么：“我们在此曝光残忍无情的伊朗情报部攻击伊朗邻国所使用的网络工具 (APT34/OILRIG)，包括残酷的管理人员以及这些网络攻击的活动及目标信息。我们希望其他伊朗公民行动起来，揭露这个政权真正的丑恶嘴脸！”

Dookhtegan组织还暴露了为伊朗情报部门工作的某些人员的姓名和电话号码，以及据称为 OilRig 组织黑客的图片、姓名、电话号码和邮件地址以及社交媒体信息。该组织表示将每隔几天提供为伊朗情报部工作的人员个人信息。

数据暴露始于2019年3月26日，攻陷了自制工具的源代码、包括政府组织在内的全球各地组织机构服务器上 web shell 的URL、web shell 访问详情、受攻陷目标的用户名和密码。

卡巴斯基威胁研究员 Alexey Firsch 在推特上公布了 Dookhtegan 公开的117个 web shell URL。

Dookhtegan 共计公开了 APT34 所使用的6款工具：

• Glimpse （被 Palo Alto Networks 公司命名为BondUpdater 工具的更新版本）

• Poison Frog（BondUpdater 工具的老旧版本）

• HyperShell （Palo Alto Networks 公司称之为 TwoFace）

• HighShell（另外一个 web shell）

• Fox Panel（钓鱼工具包）

• Webmask （思科 Talos 团队分析的 DNSpionage 工具）。

自由安全研究员 MisterCh0c 分析认为，Poison Frog 的服务器部分并不完整，目前状态并无法使用。他还查看了两个 web shell，发现HyperShell 中的一个 cookie 名为“p”，要想获取权限需要输入正确密码。MisterCh0c 表示，Dookhtegan 将“所有最具意义的密码”都修改为“Th!sNotForFAN”。

Dookhtegan 还公布了 APT34 组织受害者的重要详情（具体见https://docs.google.com/spreadsheets/d/1W0lPIzvwsgWRW2Ls42Xq4Pw5PDZ6ZN8l-KLmyBRY_6I/edit）。受害者共计66个，主要是一些中东实体（政府机构及企业）：迪拜媒体公司 (Dubai Media Inc)、阿提哈德航空公司、阿布扎比机场、阿联酋国家石油公司、兰普雷尔能源公司、科威特阿米里迪万、阿曼行政法院、阿联酋总理办公室和巴林国家安全局。除此以外，该组织还公布了 APT34 的 shell URL、登录凭证等。

在关于受害者阿联酋总统事务部 (mopa.ae) 的信息中，还包括约900个用户名和密码以及80多个网络邮件访问凭证。迪拜媒体公司的文档中包括250多个凭证集。阿提哈德航空公司信息中包括1万个用户名和明文密码，且是通过 Windows 密码恢复工具的“高级版本”破解获取的。其它文件包括服务器信息、数据库转储以及Mimikatz 后利用工具的输出数据。

另外，Dookhtegan 组织还暴露了 APT34 此前发动的攻击活动，列出了曾托管web shell 的 IP 地址和域名以及其它操作数据。

Levene认为，这次泄露事件是对 APT3 组织的重大打击，因为未来的攻击活动需要重构。他指出，可能会有人根据这些被泄露的工具山寨工具，但可能不会得到大规模的利用。Poison Frog 和 Glimpse 的代码可被修改运行命令和控制操作，但“多数被暴露的工具在某种程序而言无法使用。”也就是说这些工具的复杂程度并不如影子经纪人泄露的NSA 顶级黑客工具。复用这些工具的国家黑客或犯罪团伙很可能将其作为烟幕弹或伪旗来伪装成 APT34 组织。

目前，各大安全公司正在分析这些被泄资料。我们将持续关注事件动态。

原文链接

https://www.bleepingcomputer.com/news/security/hacker-group-exposes-iranian-apt-operations-and-members/

https://www.zdnet.com/article/source-code-of-iranian-cyber-espionage-tools-leaked-on-telegram/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”。