这次,他曝光的是伊朗国家黑客 APT34 的全新工具 Jason

作者:   深圳市网安计算机安全检测技术有限公司 2019/06/05 10:31:48 80次阅读 国际
文章来源:https://mp.weixin.qq.com/s/JjpIL7GksVp1gYMvFMoYlg

640?tp=webp&wxfrom=5&wx_lazy=1 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

        Lab Dookhtegan 再次通过 Telegram曝光了伊朗国家黑客组织 APT 34(或 OilRigHelixKitten)用于劫持微软 Exchange 邮件账户的全新工具 JasonVirusTotal 上的杀软引擎无法检测出,被指用于“入侵邮件并窃取信息”。

        简单的暴力攻击工具

        Jason 邮件劫持工具尝试多种登录密码,直到找到正确密码为止。这种暴力攻击活动伴随密码样本列表以及包含数字模式的四个文本文件。

517a5005a395c7c2052cb3821c0f7af0.png

        Minerva 实验室的联合创始人兼副总裁 Omri Segev Moyal 分析了 Jason 邮件劫持工具表示,“似乎是用于在线 exchange 服务的相对简单的暴力攻击工具。”

        VirusTotal 分析指出,这款工具编译于2015年,在本文成稿之时,它绕过了所有的检测引擎。

        APT34 被指和伊朗政府之间存在关联。Lab Dookhtegan 开始从3月26日泄露该组织的信息、它在黑客行动中所使用的工具以及在伊朗情报和安全局工作的人员联系详情。他之前所曝光的工具已得到信息安全行业专家的证实,确实是 APT34 此前所使用的弹药。

        公布这些黑客工具的直接影响是挫败 APT34组织的未来攻击活动。安全公司已经开始开发了检测这些攻击的方法,但这并不意味着它们不会出现在攻击活动中。

        网络犯罪分子很快会投入能够让业务发展壮大的新来源。现在它们通过访问能够修改的新工具来创造出新型恶意软件。目前 APT34 组织已经公开发布了七款黑客工具:

        两个基于 PowerShell 的后门:Poison Frog和 Glimpse,Palo Alto 公司表示它们都是BondUpdater 工具的版本。

        4个 webshell:HyperShell、HighShell、Fox Panel 和 Webmask(思科 Talos 团队分析的 DNSpionage 工具)。

        针对微软 Exchange 账户的 Jason 邮件劫持工具


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室