伊朗APT 35黑客組織40GB教學視頻泄露
IBM X-Force Incident Response Intelligence Services (IRIS)研究人員在5月發現了伊朗黑客組織APT 35 (Charming Kitten、Phosphorous或ITG18)的一個在線伺服器,該伺服器是一個虛擬私有雲伺服器,由於安全設置錯誤配置導致暴露在互聯網上。該伺服器上有多個APT 35的域名,上面還保存著超過40GB的數據。
數據中包括接近5小時的視頻會議信息,這些視頻主要是用於培訓黑客。從視頻來看,其中部分受害者包括美國和希臘海軍的個人賬號、以及針對美國官員的釣魚攻擊活動。
培訓視頻
研究人員發現的視頻文件是一個名為Bandicam的桌面錄屏軟體錄製的視頻文件,時長在2分鐘到2小時之間。文件的時間戳表明視頻是在上傳到APT 35伺服器的前一天錄製的。Bandicam 錄製的視頻中的APT 35運營者桌面如下所示:
圖 1: Bandicam 錄製的視頻中的APT 35運營者桌面
視頻文件中的5個名為「AOL.avi」、「Aol Contact.avi」、「Gmail.avi」、「Yahoo.avi」和「Hotmail.avi」,運營者使用含有每個平台憑證的Notepad文件,一個視頻一個視頻的複製粘貼到相關的網站上。運營者還證明了如何從這些平台上竊取不同的數據集,包括聯繫人、照片和相應的雲存儲。
此外,運營者還修改了每個賬號的賬號安全設置來增加一個Zimbra賬號,Zimbra是一個合法的郵件聚合平台。通過該平台,運營者可以同事監控和管理不同的被黑的郵件賬號。
圖 2: ?APT 35運營者同步個人賬號到Zimbra
其中一些賬戶好像是攻擊者的個人賬戶。
攻擊者擁有的賬戶
從教學視頻來看,可以發現其中一些與攻擊者相關的個人賬號,比如伊朗國家代碼開頭的手機號。IBM X-Force IRIS分析認為Yahoo.avi 視頻中的個人信息並不是一個真實存在的人,手機號為 98開頭的。
圖 3: 手機號為 98開頭的個人賬戶
定向打擊
其中3個視頻表明APT 35成功入侵了美國海軍人員和希臘海軍官員的多個賬號。尤其是,APT 35好像有多個相關人員個人郵箱和社交媒體賬戶的憑證。
視頻表明APT 35運營者成功訪問受害者賬戶後,就會主動刪除發送給被黑賬戶的可疑登陸的通知。運營者在添加webmail賬戶憑證到Zimbra之前會導出所有的賬戶聯繫人、照片、相關雲存儲站點的文檔。APT 35伺服器上含有從受害者賬戶導出(竊取)的數據:
圖 4: APT 35伺服器上的文件夾截圖,文件夾中含有從受害者賬戶中竊取的數據
對非郵件賬戶,運營者會驗證憑證和可能對應的站點,驗證的站點種類包括:視頻、音樂、披薩店、學生經濟資助、市政、銀行、嬰兒產品、視頻遊戲、移動運營商等。此外,攻擊者還收集了很多這些個人的社交信息。運營者對2個個人在至少75個不同的網站上驗證了憑證。
IBM X-Force IRIS研究人員目前還沒有發現這2名軍事人員的工作網路憑證被黑的證據。但攻擊者也有可能在軍事成員的個人文件中搜索了特定信息來使APT 35來進一步擴展對美國和希臘海軍的網路監控活動。
APT 35活動目標和時間線
美國和希臘屬於戰略盟友,簽署了近80年的多方防禦合作協議。美軍在希臘東地中海的克里特島設有美國海軍基地。APT 35的一些目標類型在過去3年間是持續的,但也有一些目標是與特定的地緣政治事件相關的。比如,APT 35在過去3年里持續攻擊與伊朗關聯的個人,2018年該組織還攻擊了與美國外國資產控制辦公室(負責組織和實施經濟制裁)有關聯的個人。這一時機與美國擴大對伊朗的制裁完全吻合。2020年4約,APT 35攻擊了與伊朗的COVID-19的爆發相關的藥品管理聯盟。APT 35攻擊目標時間線如下所示:
圖 5: APT 35攻擊活動時間線
參考及來源:
https://securityintelligence.com/posts/new-research-exposes-iranian-threat-group-operations/
https://thehackernews.com/2020/07/iranian-hacking-training-videos.html
