Инструменты и данные APT34 утекли в Сеть

Инструменты и данные APT34 утекли в Сеть

В Telegram обнаружен канал с опубликованными исходными кодами инструментов иранской хакерской группировки.

В известной киберпреступной группировке APT34 (другие названия Oilrig и HelixKitten ) произошла утечка данных сродни утечке секретных хакерских инструментов Агентства национальной безопасности США в 2017 году.

С марта нынешнего года некто Lab Dookhtegan публикует на канале в Telegram исходные коды вредоносных инструментов из арсенала APT34 – группировки, связываемой ИБ-экспертами с правительством Ирана. Хотя инструментам APT34 далеко до эксплоитов и программ АНБ, они все равно очень опасны.

На Telegram-канале уже опубликованы шесть инструментов:

- Glimpse (более новая версия PowerShell-трояна BondUpdater (в классификации Palo Alto Networks));

- PoisonFrog (более старая версия BondUpdater);

- HyperShell (web-оболочка TwoFace (в классификации Palo Alto Networks));

- HighShell (еще одна web-оболочка);

- Fox Panel (набор инструментов для фишинга);

- Webmask (инструмент для DNS туннелирования, применявшийся в ходе вредоносной кампании DNSpionage ).

Помимо инструментов для взлома, Lab Dookhtegan также выкладывает данные, похищенные у жертв группировки. В основном это логины и пароли, полученные через фишинговые страницы. В некоторых случаях также указана информация о внутренних серверах и IP-адреса.

Данные принадлежат 66 сотрудникам государственных и частных организаций в странах Среднего Востока (большая часть), Африки и Европы. Среди жертв APT34, чьи данные оказались опубликованы на канале в Telegram, значатся национальная авиакомпания ОАЭ Etihad Airways и энергетическая компания Emirates National Oil.

Lab Dookhtegan также опубликовал сведения о прошлых операциях APT34, в частности списки IP-адресов и доменов, где группировка хранила свои инструменты. Кроме того, он выложил массив данных служащих Министерства информации и национальной безопасности Ирана, включая имена, номера телефонов и фотографии служащих министерства, участвовавших в операциях APT34. В некоторых случаях также указаны электронные адреса, сведения о роли в операциях и страницы в соцсетях.

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.