谈及2019年3月中旬的一起数据泄露事件,多个黑客论坛和Twitter上出现了一个未知账户。Mr_L4nnist3r账户声称能够通过黑客组织OilRigdump使用的内部工具和数据访问数据。其中,声明中包含多张系统截图,OilRig可能利用了这些漏洞。一个可用作DNS劫持的脚本,以及一个可以保护文件名为Glimpse.rar的文件的密码,该文件声称包含OilRig后门的C2服务器面板。不久之后,一个名为@dookhtegan的推特账号也站出来声称能够通过黑客组织OilRig使用的内部工具和数据访问数据转储。该帐户使用了2004年伊朗寻求庇护移民迈赫迪·考西(MehdiKhausi)的一张著名照片,他的嘴唇和眼睛被缝合以抗议荷兰新提议的庇护法,称他将被送往荷兰。回伊朗无异于进虎口。目前尚不清楚为什么作者使用这张图片而不是其他图片来表达他的抗议。自创建账号以来,一直使用这张抽象图片作为头像,这让我们更难分析谁是始作俑者。OilRig的前世今生OilRig组织于2016年被PaloAltoNetworks威胁情报小组Unit42发现。之后,Unit42长期持续监视、观察和追踪其行踪和变化。后来,OilRig被安全行业的其他组织深入研究,并冠以“APT34”、“HelixKitten”等别名。OilRig并不复杂,但与其他以间谍活动为导向的活动不同,它相当坚持实现其目标。同时,OilRig更愿意在现有模型的基础上开发威胁方法,采用技术来实现目标。经过长时间的研究,我们现在可以揭示OilRig是如何进行攻击的具体细节,他们使用了什么工具,他们的开发周期是怎样的,它们在使用VirusTotal作为检测系统时都反映了上述问题。一般我们都是从受害者的角度来看待安全威胁,这决定了我们对组件的理解有点狭隘。受到OilRig威胁的机构和机构众多,涵盖了广泛的行业,从政府、媒体、能源、交通、物流到技术服务提供商。总的来说,我们在27个国家(包括中国)、97个组织和18个领域的大量非法控制站点中发现了近13000个被盗凭证和100多个部署的webshel??l后门工具。主机上安装了12个后门会话进程。数据转储包括各种类型的数据,来自侦察操作或OilRig操作员针对特定组织使用的工具。受此影响的组织跨行业,从政府、媒体、能源、交通、物流到技术服务提供商。通常,转储的数据将包含以下信息:被盗凭据部署的webshel??lURL后门工具后门工具的C2服务器组件执行DNS劫持的脚本可以识别特定个体操作员的脚本对数据集的类型进行了分析,而不是那些包含所谓的OilRig操作员详细信息的文件。这些操作员将采用我们之前观察到的OilRig常规使用的战术、技术和程序(TTP)。由于缺乏相关领域的可视化,目前还无法判断这些带有运营商个人信息的文件是否准确,但我们没有理由怀疑它们是错误的。通过对不同工具的跟踪,我们在这些转储中发现了一些有趣的组件,即这些OilRig威胁参与者使用内部名称。请参阅下图,了解我们用于跟踪这些工具的内部标题和关键字。结论总之,数据转储为我们提供了对黑客活动背后真相的罕见而非凡的洞察力。虽然我们可以确认该数据集中提供的后门和webshel??l程序与之前对OilRig工具的研究结果是一致的,但总体上我们无法确定整个数据集的来源,也无法确认或否认该数据没有以某种方式被复制。数据转储很可能来自举报人,但似乎只有某些第三方可以访问数据。从整体上看数据转储,锁定的对象和TTP与我们过去对OilRig所做的一致。假设转储中的数据是准确的,这表明OilRig已经达到全球范围,而普遍的共识是OilRig只在中东造成严重破坏。OilRig可能受影响的地区和行业的差异表明,任何企业,无论属于哪个地区、哪个行业,都需要对黑客有态势感知,了解他们在做什么,随时准备应对。时间安全威胁。
