伊朗顶级黑客组织之一的服务器因配置错误被暴露在网上。该服务器中含有超过40G 的数据,IBM X-Force 团队从中找到了大量黑客实施攻击的屏幕记录资料。研究人员认为这些视频是该黑客组织用于培训新人的素材。
研究人员分析认为,这些视频是通过视频录制应用 BandiCam 记录的,表明黑客组织有意录制而并非受感染的操作人员不慎录制的。
展示基本的账户劫持技术
研究人员发现的视频时长从2分钟到2小时不等。时间戳显示,这些视频录制约1天左右后被上传到受控服务器。
在五个视频文件(“AOL.avi”、“Aol Contact.avi”、“Gmail.avi”、“Yahoo.avi”和 “Hotmail.avi”)中,操纵者使用了包括每个平台一个凭据的 Notepad文件,并通过视频方式复制粘贴到相关网站中。
视频显示,伊朗黑客执行多种任务,包括如何使用受陷凭据清单劫持受害者账户。邮件账户是他们的主要目标,但如果能获取受陷目标的账户凭据,则也会访问社交媒体账户。研究人员认为过程一丝不苟,操纵者需要访问每个受害者的账户,不管受害者的网络资料是否重要。
操纵者需要访问受害者的各类账户,如视频和音乐流、披萨外卖、信用报告、学生资助、公共设施、银行、婴儿产品站点、视频游戏和移动运营商等。在某些情况下,操纵者会在至少75个不同的网站上验证两名受害者的凭据。
黑客会访问每个账户的设置部分并搜索可能在其它网络账户上不包含的个人信息,尽可能完整地构建每个目标的资料。
研究人员并未详述黑客如何获取受害者的凭据详情。目前尚不清楚操纵者是通过将密码转储到浏览器的恶意软件感染目标,还是操纵者从地下市场购得这些凭据。
展示如何导出账户数据
其它视频详述了从每个账户提取数据的步骤,包括从相关联的云存储站点如
Google Drive中导出所有账户的通讯录、照片和文档。研究人员表示在某些情况下,操纵者还会访问受害者的 Google Takeout
工具导出各种详情如 Google Account 的全部内容,包括位置历史、Chrome 信息和相关联的安卓设备。
之后,操纵者还会将受害者的邮件凭据添加到受控的 Zimbra (合法的邮件协作平台,可将多个邮件账户累计到一个界面中)实例中,从一个后端面板远程监控多个账户。其中某些账户可能属于攻击角色本身,旨在增加可信度。
其它视频还显示,操纵者专门创建傀儡邮件账户以便实施后续操作。
多因素认证机制拦截入侵
研究人员表示识别出视频中出现的受害者账户并告知受害者,其中包括一名美国海军士兵以及一名希腊海军官员。操纵者能借助这些账户获取和伊朗利益相关的军事行动的其它数据。
视频还展示了访问目标账户失败的案例,如访问美国国务院官员账户失败以及访问一名伊朗裔美国籍慈善家账户失败。研究人员表示,账户攻陷攻击失败的情况通常针对的是使用了多因素验证 (MFA) 的账户。
APT35(ITG18)或为主角
研究人员从视频中发现了和 ITG18 操纵者相关的角色和伊朗电话号码。研究人员从 “Yahoo.avi” 视频展示了虚假角色的资料详情,其电话号码以“+98”国家码开头,而这是伊朗的国际国家码。
他们表示,包含这些视频的服务器属于被他们称为 ITG18(或称为 Charming Kitten、Phosphorous、APT35)的组织。
该组织是伊朗最活跃的国家黑客组织之一,最近发动了多起攻击活动如攻击美国2020年总统大选活动以及在新冠肺炎疫情期间攻击美国医药高管等。此前该组织曾攻击美国军队、美国金融监管机构和美国核武器研究员。鉴于美国和伊朗之间的军事关系紧张、伊朗遭受美国经济制裁以及伊朗扩展了核武器计划,这些目标都和伊朗存在利益关系。
安全实践启发
这些研究成果也提醒我们必须遵守某些重要的安全实践:
使用多因素验证机制。如果使用该机制,则恶意软件无法访问用户凭据。多因素验证机制是最后一道防线。
定期重置密码。不要在多个账户使用同一密码并定期更新密码。如果在所有账户上使用了同样的密码,则账户一旦受陷,全盘皆输。可以考虑使用唯一密码以及长度超过14个字符的密码增强安全性。
使用密码管理器。密码管理器可以生成更强大的密码且无需记忆。
审计设置并限制从邮件访问第三方应用的权限。在一些实例中,操纵者必须更改账户偏好以允许第三方应用和受陷账户连接。这些设置使得威胁人员能够扩展对其他受害者的访问权限。
完整报告请见:
https://securityintelligence.com/posts/new-research-exposes-iranian-threat-group-operations/
(来源:重生信息安全)