OilRig APT集团的新电子邮件黑客工具泄露

作者:???深圳市网安计算机安全检测技术有限公司 2019/06/06 11:41:57 233次阅读 国际
文章来源:https://www.4hou.com/info/news/18414.html

????????据称由OilRig黑客组织使用的用于劫持Microsoft Exchange电子邮件帐户的工具已在网上泄露。该工具名为Jason,VirusTotal上的防病毒引擎无法检测到它。

????????泄密者在Telegram频道发布了这个工具,并表示这是伊朗政府用于“窃取电子邮件和窃取信息”的工具。

简单的暴力攻击工具

????????Jason电子邮件劫持工具会尝试各种登录密码,直到找到正确密码。这种蛮力破解活动由包含密码样本的列表和包含数字模式的四个文本文件辅助。

OilRig APT集团的新电子邮件黑客工具泄露

? ? (上图由Omri Segev Moyal提供)

????????Minerva实验室的联合创始人兼研究副总裁Omri Segev Moyal分析了Jason电子邮件劫持工具,指出它“看似一个相对简单的针对在线交换服务的暴力攻击。”

????????VirusTotal分析显示该实用程序是在2015年编译的。在编写本文时,它绕过了扫描服务中可用的所有检测引擎。

OilRig APT集团的新电子邮件黑客工具泄露

????????OilRig也被称为APT34和HelixKitten,是一个与伊朗政府有关的团体。有人使用别名Lab Dookhtegan,从3月26日开始对外泄漏OilRig信息,它在黑客操作中使用的工具,以及据称伊朗情报和安全部(MOIS)工作人员的联系方式。

????????Lab Dookhtegan发布的先前工具已得到安全行业专家的证实,确实属于攻击方APT34 / OilRig使用的武器。

????????这些黑客工具的发布可能会直接扰乱这个黑客组织未来的行动。 Securitty公司已经针对性地开发了检测手段,但并不意味着它们将不再用于攻击。

????????网络犯罪分子总是会尽可能地利用所有新资源,以保证其业务的永久化和多样化。目前的情况下,他们又多了许多新工具,可以修修补补,创建新的恶意软件。现在有7种与OilRig组相关的工具可以公开获得:

?– (根据Palo Alto Networks)2个基于PowerShell的后门:Poison Frog和Glimpse,两者都是名为BondUpdater的工具版本

?–? 4个Web shell:HyperShell和HighShell,Fox Panel和Webmask(Cisco Talos分析的DNSpionage工具)

?–? 针对Microsoft Exchange帐户的Jason电子邮件劫持工具

本文翻译自:https://www.bleepingcomputer.com/news/security/new-email-hacking-tool-from-oilrig-apt-group-leaked-online/?


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室