4月18日,黑客/黑客组织使用假名Lab Dookhtegan在Telegram频道上出售APT34团伙的工具包

6月3日,Lab Dookhtegan 再次通过 Telegram曝光了伊朗国家黑客组织 APT 34(也称作OilRig或HelixKitten)用于劫持微软 Exchange 邮件账户的全新工具 Jason,VirusTotal 上的杀软引擎无法检测出,被指用于“入侵邮件并窃取信息”。

简单的暴力攻击工具

Jason 邮件劫持工具尝试多种登录密码,直到找到正确密码为止。这种暴力攻击活动伴随密码样本列表以及包含数字模式的四个文本文件。

Minerva 实验室的联合创始人兼副总裁 Omri Segev Moyal 分析了 Jason 邮件劫持工具表示,“似乎是用于在线 exchange 服务的相对简单的暴力攻击工具。”

VirusTotal 分析指出,这款工具编译于2015年,在本文成稿之时,它绕过了所有的检测引擎。

APT34 被指和伊朗政府之间存在关联。Lab Dookhtegan 开始从3月26日泄露该组织的信息、它在黑客行动中所使用的工具以及在伊朗情报和安全局工作的人员联系详情。他之前所曝光的工具已得到信息安全行业专家的证实,确实是 APT34 此前所使用的弹药。

公布这些黑客工具的直接影响是挫败 APT34组织的未来攻击活动。安全公司已经开始开发了检测这些攻击的方法,但这并不意味着它们不会出现在攻击活动中。

网络犯罪分子很快会投入能够让业务发展壮大的新来源。现在它们通过访问能够修改的新工具来创造出新型恶意软件。目前 APT34 组织已经公开发布了七款黑客工具:

  • 两个基于 PowerShell 的后门:Poison Frog和 Glimpse,Palo Alto 公司表示它们都是 BondUpdater 工具的版本。

  • 4个 webshell:HyperShell、HighShell、Fox Panel 和 Webmask(思科 Talos 团队分析的 DNSpionage 工具)

  • 针对微软 Exchange 账户的 Jason 邮件劫持工具

原文链接

https://www.bleepingcomputer.com/news/security/new-email-hacking-tool-from-oilrig-apt-group-leaked-online/

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。