这次,他曝光的是伊朗国家黑客 APT34 的全新工具 Jason

作者:???深圳市网安计算机安全检测技术有限公司 2019/06/05 10:31:48 195次阅读 国际
文章来源:https://mp.weixin.qq.com/s/JjpIL7GksVp1gYMvFMoYlg

640?tp=webp&wxfrom=5&wx_lazy=1?聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

? ??????Lab Dookhtegan?再次通过?Telegram曝光了伊朗国家黑客组织?APT 34(或?OilRigHelixKitten)用于劫持微软?Exchange?邮件账户的全新工具?JasonVirusTotal?上的杀软引擎无法检测出,被指用于“入侵邮件并窃取信息”。

? ??????简单的暴力攻击工具

????????Jason?邮件劫持工具尝试多种登录密码,直到找到正确密码为止。这种暴力攻击活动伴随密码样本列表以及包含数字模式的四个文本文件。

517a5005a395c7c2052cb3821c0f7af0.png

????????Minerva?实验室的联合创始人兼副总裁?Omri Segev Moyal?分析了?Jason?邮件劫持工具表示,“似乎是用于在线?exchange?服务的相对简单的暴力攻击工具。”

????????VirusTotal?分析指出,这款工具编译于2015年,在本文成稿之时,它绕过了所有的检测引擎。

????????APT34?被指和伊朗政府之间存在关联。Lab Dookhtegan?开始从3月26日泄露该组织的信息、它在黑客行动中所使用的工具以及在伊朗情报和安全局工作的人员联系详情。他之前所曝光的工具已得到信息安全行业专家的证实,确实是?APT34?此前所使用的弹药。

????????公布这些黑客工具的直接影响是挫败?APT34组织的未来攻击活动。安全公司已经开始开发了检测这些攻击的方法,但这并不意味着它们不会出现在攻击活动中。

????????网络犯罪分子很快会投入能够让业务发展壮大的新来源。现在它们通过访问能够修改的新工具来创造出新型恶意软件。目前?APT34?组织已经公开发布了七款黑客工具:

????????两个基于?PowerShell?的后门:Poison Frog和?Glimpse,Palo Alto?公司表示它们都是BondUpdater?工具的版本。

????????4个?webshell:HyperShell、HighShell、Fox Panel?和?Webmask(思科?Talos?团队分析的?DNSpionage?工具)。

????????针对微软?Exchange?账户的?Jason?邮件劫持工具


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室