OilRig APT集团的新电子邮件黑客工具泄露

Rossa 新闻 2019年6月6日发布
Favorite收藏

导语:该工具名为Jason,VirusTotal上的防病毒引擎无法检测到它。 泄密者在Telegram频道发布了这个据说是伊朗政府用于“窃取电子邮件和窃取信息”的工具。

据称由OilRig黑客组织使用的用于劫持Microsoft Exchange电子邮件帐户的工具已在网上泄露。该工具名为Jason,VirusTotal上的防病毒引擎无法检测到它。

泄密者在Telegram频道发布了这个工具,并表示这是伊朗政府用于“窃取电子邮件和窃取信息”的工具。

简单的暴力攻击工具

Jason电子邮件劫持工具会尝试各种登录密码,直到找到正确密码。这种蛮力破解活动由包含密码样本的列表和包含数字模式的四个文本文件辅助。

oil1.png

    (上图由Omri Segev Moyal提供)

Minerva实验室的联合创始人兼研究副总裁Omri Segev Moyal分析了Jason电子邮件劫持工具,指出它“看似一个相对简单的针对在线交换服务的暴力攻击。”

VirusTotal分析显示该实用程序是在2015年编译的。在编写本文时,它绕过了扫描服务中可用的所有检测引擎。

oil2.png

OilRig也被称为APT34和HelixKitten,是一个与伊朗政府有关的团体。有人使用别名Lab Dookhtegan,从3月26日开始对外泄漏OilRig信息,它在黑客操作中使用的工具,以及据称伊朗情报和安全部(MOIS)工作人员的联系方式。

Lab Dookhtegan发布的先前工具已得到安全行业专家的证实,确实属于攻击方APT34 / OilRig使用的武器。

这些黑客工具的发布可能会直接扰乱这个黑客组织未来的行动。 Securitty公司已经针对性地开发了检测手段,但并不意味着它们将不再用于攻击。

网络犯罪分子总是会尽可能地利用所有新资源,以保证其业务的永久化和多样化。目前的情况下,他们又多了许多新工具,可以修修补补,创建新的恶意软件。现在有7种与OilRig组相关的工具可以公开获得:

 – (根据Palo Alto Networks)2个基于PowerShell的后门:Poison Frog和Glimpse,两者都是名为BondUpdater的工具版本

 –  4个Web shell:HyperShell和HighShell,Fox Panel和Webmask(Cisco Talos分析的DNSpionage工具)

 –  针对Microsoft Exchange帐户的Jason电子邮件劫持工具

本文翻译自:https://www.bleepingcomputer.com/news/security/new-email-hacking-tool-from-oilrig-apt-group-leaked-online/ 如若转载,请注明原文地址: https://www.4hou.com/info/news/18414.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论