APT34组织持续曝光
2019-07-26 10:00:35 Author: www.freebuf.com(查看原文) 阅读量:163 收藏

前期APT34组织曝光情况《APT34泄密武器分析报告》,该组织为伊朗APT组织,自2014年起,持续对中东及亚洲等地区发起APT攻击,自今年以来名为“Lab Dookhtegan”的用户在Telegram上持续对该组织使用工具、攻击目标、内部成员等信息进行曝光。近日该用户又接连曝光该组织内部情况包括人员信息、工具与项目、攻击行为、内部文件四个部分。

组织成员信息曝光

自上一次apt34信息曝光以来,该用户为打击伊朗情报部门持续对组织内部成员进行多方面挖掘曝光。从组织成员使用的社交账号、github等各个方面进行分析关联,对组织成员的个人信息,如照片、联系方式、社交网站、工作方式等进行曝光。目前曝光人数编号已至16号,以下为部分人员图片。

1.jpg2.jpg3.jpg4.jpg

内部项目及工具曝光

本次再次曝光了组织核心内部使用的工具及研发项目等信息。其中包含多款针对ExchangeServer邮件服务器工具以及webshell和后门工具。

1.ExchangeServer邮件服务器爆破工具

在上一次曝光中可以发现该组织针对ExchangeServer邮件服务器进行了大规模的渗透入侵,本次曝光中该用户曝光了该组织使用的针对邮件服务器密码破解的工具Json。

1.PNG该工具可根据邮件服务器版本、登录方式等进行设置,使用者可自行配置破解字典库以及运行线程等信息。

2.Link Checker

12.PNG

3.Flamingo邮件下载器

13.PNG4.MailSniperManager邮件快速查找工具

14.PNG5.WebShell控制端与新功能

16.png

11.png12.png 14.png18.png19.png

组织攻击行为曝光

该用户曝光该组织针对黎巴嫩网络攻击行为。伊朗情报部使用的一项重要的网络工具活动,基于DNSpionage活动的Karkoff工具。

1.jpg涉及到的域名有:

almustaqbal.com.lb

triplec.com.lb

terra.net.lb

medgulf.com.lb

everteam-mea.com

mstqbl.org

beirutairport.gov.lb

libatel.com

mut.edu.lb

murex.com

libanpost.com

fidelity.com.lb

具体研究报告链接:《DNSpionage brings out the Karkoff

组织内部文件曝光

曝光的文件分为四个部分,分别包括了该组织在不同领域下的技术专长。

11.jpg

PART I:包括数据库,互联网服务提供商,编程语言,黑客植入,社会工程等方面

P16.jpg

P1.jpgP11.jpg P12.jpgP13.jpgP14.jpg P15.jpg

PART II:包括文件存储,VPN,虚拟化,IDS,监控等方面

21.jpg

25.jpg22.jpg23.jpg 24.jpg26.jpgPART III:包括编程、JAVA和IDE等语言、脚本、数据库的基础知识

31.jpg32.jpg 33.jpg34.jpg

PART IV:包括Exploit,Debugger,PE,Assembly等41.jpg42.jpg43.jpg总的来说近期曝光的多为该组织内部保密信息,并且在未来的一段时间内该用户仍将持续曝光该组织,值得安全人员继续跟踪研究。

*本文原创作者:Kriston,本文属于FreeBuf原创奖励计划,未经许可禁止转载


文章来源: https://www.freebuf.com/articles/network/208335.html
如有侵权请联系:admin#unsafe.sh