又立功了!OilRig组织的新黑客工具在线曝光

关注 2019-06-05 05:50:22 查看数 10120 ,评论数 0 工具 资讯

近日媒体报道称,一个名为Jason的恶意工具在网络上被曝光。据悉该工具属于OilRig黑客组织,用于攻击劫持Microsoft Exchange电子邮件账户。此黑客工具尚未被VirusTotal反病毒引擎检测到。


此次黑客工具曝光仅仅发生在日前,泄密者通过Telegram频道称,伊朗政府利用该工具“入侵电子邮件账户,窃取机密信息。”


暴力攻击工具


Jason电子邮件劫持工具的原理很简单,仅仅通过不断尝试各种默认常用的密码进行登陆,直到成功。该暴力攻击活动中使用了一个记录各种简单密码的列表,以及四个包含各种数值的文本文件。


Minerva安全实验室的联合创始人兼副总裁Omri Segev Moya分析了jason电子邮件劫持工具,指出它“似乎是针对Microsoft Exchange在线服务的简单暴力攻击工具。”


VirusTotal分析显示,该程序是在2015年编写完成的。研究人员发现,最开始该工具可以绕过扫描服务中的所有检测引擎,但目前已经可以检测到。


OilRig黑客组织


OilRig组织于2016年首次被 Palo Alto Networks威胁情报小组 Unit 42发现,这之后,Unit 42长期持续监测、观察并追踪他们的行踪和变化。后来OilRig被安全行业的其他组织进行深度研究,同时被冠以其他名字如“APT34”以及“Helix Kitten”。OilRig并不复杂,但在达成目标方面相当坚持,与其他以间谍为目的的活动相比有所不同。同时,OilRig更愿意基于现有攻击模式来发展攻击手段并采用最新技术来达成目标。据悉,这是一个疑似与伊朗政府有密切关系的间谍组织。


遭受OilRig攻击的组织机构甚多,覆盖行业甚广,从政府、媒体、能源、交通、物流一直到技术服务供应商。总体来讲,截至今年5月,其至少在遍布27个国家(中国包含在内)、97个组织、覆盖18个领域的大量遭受攻击的主机上安装了12个后门会话进程。


可以说OilRig的覆盖已经达到全球范围,绝非一般大众认为的OilRig只在中东地区肆虐。


Lab Dookhtegan持续曝光该组织


一个化名为Lab Dookhtegan的泄密者在今年3月26日通过Telegram频道发布了OilRig的相关信息,包括该组织在黑客行动中使用的工具,以及其与伊朗情报安全部门(MOIS)人员的详细联络信息。此前Lab Dookhtegan公布的黑客工具已经被专业的安全研究人员确认是 APT34/OilRig使用的武器库的一部分。


在线发布这些黑客工具,直接影响到了该黑客组织的未来行动。安全公司已经针对这些公布的黑客工具开发了相应的检测工具,但这并不意味着就不存在安全威胁了。


相对的,这些网络犯罪分子也会获取一切信息,帮助提高其黑客行动的成功率。即时这些黑客工具被提前曝光,他们也仍然会迅速做出改良版的新工具,或从中获取灵感开发新的恶意工具。此前被公开的属于OilRig黑客组织的工具包括以下7种:


  • 2个基于PowerShel的后门:Poison Frog和Glimpse。据Palo Alto Networks公司称,这两个后门实际上是源自BondUpdater恶意工具的不同版本。
  • 4个Web Shell:HyperShell、HighShell、Fox Panel和Webmask。
  • Jason电子邮件劫持工具,针对Microsoft Exchange账户。
交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...