黑客Dookhtegan泄露APT 34组织工具、成员信息包括一百多条webshell

近期，有匿名黑客开始泄露伊朗间谍组织APT 34（OilRig 或者 HelixKitten） 所使用的黑客工具，甚至还包括团队成员及受害者数据信息等等。虽然目前来看所泄露的工具并没有永恒之蓝如此复杂，但依然引发了大量安全研究者的持续关注。 从3月份开始，有人开始以“Lab Dookhtegan”这个名字在Telegram频道 https://t.me/lab_dookhtegan 中分享这些数据，截止我发这篇文章之时，已经有接近3100+人密切关注该频道发布的内容。

其中有118条 webshell  大多都是 OA系统 或者邮箱，APT 34 组织很会挑对象啊，这些系统都是有很多的有价值的数据。我注意了一下其中包含 China 的 webshell 就有13条，包括 www.cecep.cn(中国节能环保集团公司)、generali-china.cn(中意财产保险有限公司)、exchange.bestv.com.cn(BesTV网站-BesTV百变新视界)、bdo.com.cn(BDO立信)、lswebext.sdec.com.cn(上海柴油机股份有限公司(简称“上柴股份”))、mail.swsc.com.cn(西南证券)、mail.neway.com.cn(苏州纽威阀门股份有限公司)、crccre.cn(中国铁建房地产集团有限公司)，这些都是中国的公司，其中不乏一些大公司。如下图所示，其中大部分的邮箱OA系统应该都是同一套系统,估计APT 34组织有对应的 0day 或者是公司内部安全建设差，总之都是受害者，更应该反思。



更多详细的wenshell相关信息可以去这里看：https://pastebin.com/jVcZc8pR 当然文末也有目前已经放出来的所有的文件打包下载地址。

截止目前，该匿名者已经放出了6款黑客工具：

1.Glimpse（基于PowerShell的的新版木马，Palo Alto Networks命名为BondUpdater）

2.PoisonFrog（旧版BondUpdater）

3.HyperShell（称之为TwoFace的Palo Alto Networks网络外壳）

4.HighShell（另一个Web shell）

5.Fox Panel（钓鱼工具包）

6.Webmask（DNS隧道，DNSpionage背后的主要工具）

研究人员还检查了两个Web shell，发现HyperShell中名为“p”的cookie需要正确的密码才能获得访问权限。此外，Dookhtegan将所有最有意义的密码更改为“Th！sNotForFAN”。安全专家已确认这些泄露的工具和信息确实与APT 34组织有关。 Dookhtegan发布的信息还包括66名APT34组织受害者，主要是中东地区的政府机构和财务 能源公司，这与APT 34组织的先前情况一致。在有关受害者的阿联酋总统事务办公室（mopa.ae）的信息中，它还包括大约900个用户名和密码以及80多个webmail访问凭证。迪拜媒体公司的文件包括250多张优惠券。阿提哈德航空公司的信息包括10,000个用户名和明文密码，并通过Windows密码恢复工具的“高级版”破解获得。其他文件包括服务器信息 数据库转储和Mimikatz后利用工具输出数据。

目前泄露所有内容包下载地址：
https://s3-eu-west-1.amazonaws.com/malware-research.org/blogposts/apt34Leak/apt34leak.7z
解压缩密码：vJrqJeJo2n005FF *

原文地址：https://malware-research.org/apt34-hacking-tools-leak/