查看原文
其他

神秘人暴露了伊朗 MuddyWater 的行踪,还揪出一个全新的 APT 组织

Catalin Cimpanu 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

继上个月 Lab Dookhtegam Telegram 的一个频道上暴露了 APT34 组织的多款恶意软件源代码后,现在Telegram、暗网网站和公共互联网上又出现了关于伊朗网络间谍行动的两起泄露活动。

其中一起包含 MuddyWater 黑客组织的运行数据,而第二起泄露数据是此前从未谋面的且被伊朗政府称为“Rana Institute(拉纳学院)”的新型 APT 组织。

不同于上次的源代码泄露事件

这次暴露的两起泄露事件和上个月的 APT 34 源代码数据泄露事件不同。这次的泄露事件均不包含恶意软件的源代码,而是包含未知来源的源代码镜像、命令和控制服务器后台的镜像以及列出此前被黑受害者的镜像。

多家网络安全公司如 Chronicle、火眼和 Palo Alto Networks 均证实了上次源代码泄露的真实性。ClearSky 安全公司和 Minerva 实验室的研究人员证实了这次数据的真实性。

随着这次泄露事件的发生,我们正在见证有组织地暴露伊朗黑客行动的理论假设看似是成立的。

始作俑者可能希望通过暴露伊朗的黑客活动来损害伊朗和邻国之间、和外国政治盟友之间以及和自营企业之间的关系。这些组织机构可能会重新思考自己的行动和伊朗政府之间的关系。

MuddyWater 泄露资料

一个自称为“Green Leakers(绿色泄密者)”声称对此事负责。该组织仍然运营着两个 Telegram 频道和两个不同的暗网门户网站。他们在这两个平台上出售声称来自 MuddyWater APT 组织的行动数据。由于数据在售,因此泄密者并未免费发布任何数据,这和上个月 Dookhtegam 泄露源代码的做法不同。这次,他们发帖在售 MuddyWater APT 组织使用的一个命令和控制服务器源代码的镜像和 MuddyWater命令和控制后台的镜像,后者还包括某些 MuddyWater 受害者的未经编辑的IP地址。

由于泄密者目前仅以截屏的方式泄露了少量数据样本,因此被泄数据的真实性还有待验证,然而目前也无法对数据的真实性打折扣。

媒体 ZDNET 和 Minerva 实验室一直在密切关注此次数据泄露事件的最新进展情况,但截至目前,除了 Telegram 频道被封之外还未发现任何新进展。

RANA Institute 泄露资料

另外一起关于伊朗网络活动的数据泄露事件出现在一个波斯语网站上以及一个 Telegram 频道上。

泄密者发布了被标记为“机密”等级且似乎来自伊朗情报部的文档的少量代码片段,该文档指出 Rana Institute 是一家受雇于实施网络间谍活动的承包商。

和 MuddyWater 泄露事件不同,ClearSky 安全公司的伊朗顶级专家证实了这起泄露事件的真实性。

被泄露的文档是 APT 研究人员的威胁情报宝藏,这个从未谋面的新型 APT 组织至今才被揭开面纱,尽管它早在2015年就开始活跃。

ClearSky 发布报告称,“这些文档包含受害者列表、网络攻击战略列表、声称遭访问的区域、员工列表以及和间谍系统相关的内部网站的截屏。这些文档说明了该组织活动的某些方面,尤其是追踪伊朗人、追踪伊朗境外的伊朗公民以及该组织成员的情况。”

公布Rana 泄露信息的网站上包括 Rana Institute 成员的个人信息以及该组织此前实施的活动的一些情况,多数是关于入侵航空公司检索乘客信息以及入侵旅游预订网站以检索预定情况和支付卡号。

但除了航空公司和预订网站的信息外,该组织还对全球的保险、IT和电信公司以及政府机构部门发动针对性攻击。

从被泄文档来看,Rana 黑客还被要求开发恶意软件,主要用于损害 SCADA 工业控制系统,类似于震网病毒 (Stuxnet) 或 Shamoon。ClearSky 公司的研究人员指出,“该项目并未成功,虽然花费大量预算但并未实现目标。”

向着目标前进

泄露者暴露 Rana 组织的目的似乎是为了实现破坏伊朗网络间谍行动的目标。

由于黑客工具遭公开且之前的攻击活动遭暴露,伊朗黑客组织将不得不重新设计工具并发动新型的攻击活动,可能需要延迟目前或规划好的黑客活动,而这很可能正是泄密者想要看到的结果。

ClearSky 公司发布的完整报告可见:

https://www.clearskysec.com/wp-content/uploads/2019/05/Iranian-Nation-State-APT-Leak-Analysis-and-Overview.pdf




推荐阅读

有人曝光了伊朗国家黑客组织的源代码、黑客工具、成员及受害者情况


原文链接

https://www.zdnet.com/article/new-leaks-of-iranian-cyber-espionage-operations-hit-telegram-and-the-dark-web/


题图:Pixabay License



本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。




您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存