伊朗网军最近因研究人员发现40GB以上的数据而陷入困境,其中包括培训视频,这些视频显示了网军成员如何攻击对手的网络账号,然后如何掩盖他们的攻击踪迹。

IBM X-Force安全团队的研究人员近日透露,他们已经获得了大约五个小时的录像,这些录像似乎是直接从APT35(Charming Kitten、ITG18)组织成员的屏幕上录制的。

这是与伊朗政府有联系的最活跃的国家赞助间谍团队之一。这些泄露的视频是在黑客从受害者帐户(包括美国和希腊军事人员)窃取的40 GB数据中发现的。数据中的其他线索表明,这些黑客针对的是美国国务院工作人员和一名匿名的伊朗裔美国慈善家。

据称,当时APT35的虚拟私有云服务器上存在安全设置配置错误,从而暴露数据(实际上就是没有设置密码保护)。而这些文件在5月的几天内全部上传到了公开的服务器上。

在视频中发现的信息包括:

  • 在将近五个小时的视频中,一名APT35组织从美国海军一名成员和一名在希腊海军服役了近二十年的人事干事的各种被入侵的账户中搜索并窃取数据。这些帐户可以使攻击者获得伊朗可能感兴趣的其他军事行动数据。

  • 针对伊朗裔美国人慈善家和美国国务院官员的个人帐户的网络钓鱼尝试失败。

  • 与APT35网军相关的角色和伊朗电话号码。

APT35组织至少自2013年以来一直活跃。该小组活动的标志包括通过针对伊朗政府众多具有战略意义的目标的网络钓鱼攻击进行凭据收集和电子邮件泄露操作。

APT35组织发现的视频文件是使用名为Bandicam的桌面录屏工具录制而成1,时长为2分钟到2个小时。文件的时间戳表明,在将视频上传到由APT35控制的服务器之前,大约已录制了一天。

录制的视频中观察到的一些攻击者拥有的帐户中,存在带有伊朗国家代码的电话号码。IBM观察到“ Yahoo.avi”视频显示的是假角色的个人资料详细信息,其中包括带有+98国家代码(伊朗的国际国家代码)的电话号码。

在名为“ AOL.avi”,“ Aol Contact.avi”,“ Gmail.avi”,“ Yahoo.avi”,“ Hotmail.avi”的五个视频文件中,攻击者使用一个记事本文件,每个文件包含一个平台的凭据,然后逐个视频复制并将其粘贴到关联的网站中。攻击者继续进行演示以展示如何提取与这些平台关联的各种数据集,包括联系人,照片和关联的云存储。

需要注意的是,攻击者在获取到账户权限后,首先做的是修改每个帐户的帐户安全性部分中的设置,以便将该帐户添加到Zimbra(一种合法的电子邮件协作平台,可以将多个电子邮件帐户聚合到一个界面中)。通过使用此平台,攻击者可以同时监视和管理各种受感染的电子邮件帐户。

而在将Webmail帐户凭据添加到Zimbra之前,该攻击者从关联的云存储站点(例如Google Drive)中导出了所有帐户联系人,照片和文档。同时,攻击者还登录受害人的Google Takeout(takeout.google.com),允许用户从其Google帐户中导出内容,包括位置历史记录,Chrome中的信息以及相关的Android设备。

因此,这些操作获得了受害者所拥有的其他关联帐户的权限,在视频演示的真实攻击中,他们在美国海军受害者身上泄露的个人档案中,获取了包括与他们有联系的军事单位的细节,包括与他们有联系的海军基地。

攻击者收集了有关此受害者的大量个人信息,包括推测的住所,个人照片(包括大量自拍照和房屋视频),税收记录以及个人云存储站点的内容。希腊海军官员受害者也不例外,被攻击者获取了类似的信息,包括来自Gmail帐户,与希腊大学关联的帐户和希腊海军薪资站点的信息。

参考链接:

https://securityintelligence.com/posts/new-research-exposes-iranian-threat-group-operations/

在线求视频。

声明:本文来自黑鸟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。