• XSS.stack #1 – первый литературный журнал от юзеров форума

Утекли сорцы инструментов кибершпионской группы APT34

Отслеживать
Eject

Eject

(L1) cache
Пользователь
Регистрация
31.01.2019
Сообщения
827
Реакции
480
В середине марта 2019 года некто Lab Dookhtegan обнародовал в Telegram инструменты иранской APT34 (она же Oilrig и HelixKitten), а также информацию о жертвах хакеров и сотрудниках Министерства информации и национальной безопасности Ирана, которые якобы связаны с операциями группировки.
Журналисты издания ZDNet, которым удалось пообщаться с Lab Dookhtegan, пишут, что, по его словам, он принимал участие в кампании DNSpionage и был членом APT34. Однако никаких доказательств этому нет, и Lab Dookhtegan вполне может оказаться сотрудником совсем не иранских спецслужб.

В Telegram были опубликованы исходные коды шести следующих инструментов APT34:
  • Glimpse (новая версия PowerShell трояна, который эксперты Palo Alto Networks называют BondUpdater);
  • PoisonFrog (старая версия BondUpdater);
  • HyperShell (web shell, известный Palo Alto Networks как TwoFace);
  • HighShell (еще один web shell);
  • Fox Panel (фишинговый набор);
  • Webmask (основной инструмент, использованный в компании DNSpionage).


По данным ZDNet, в настоящее время анализом этих решений занимаются многие ИБ-компании. Подлинность исходных кодов изданию уже подтвердили специалисты Chronicle, подразделения кибербезопасности холдинга Alphabet.
Помимо исходных кодов Lab Dookhtegan также обнародовал в открытом доступе данные о 66 жертвах APT34, обнаруженные на управляющих серверах группировки. Среди опубликованной информации, в числе прочего, были учетные данные от внутренних серверов и IP-адреса пользователей. В основном в этот список пошли компании и организации из стран Ближнего Востока, Африки, Восточной Азии и Европы. Два наиболее крупных имени среди пострадавших – это компании Etihad Airways и Emirates National Oil. Список всех жертв можно увидеть здесь.



Также Lab Dookhtegan «слил» и данные о прошлых операциях группы, включая списки IP-адресов и доменов, где группировка ранее хостила web sell’ы и другие оперативные данные.



Кроме того, анонимный изобличитель потратил немало времени на доксинг сотрудников Министерства информации и национальной безопасности Ирана, которые якобы принимали участие в операциях APT34. Для некоторых офицеров Lab Dookhtegan создал специальные PDF-файлы с «досье», где раскрыл их имена, должности, приложил фотографии, номера телефонов, email-адреса и ссылки на профили в социальных медиа. Журналисты отмечают, что негативное отношение Lab Dookhtegan к этим людям сложно не заметить, ведь в своих постах и «досье» он называет их не иначе, как «беспощадными преступниками».
Помимо вышеперечисленного, в Telegram были опубликованы скриншоты, демонстрирующие уничтожение контрольных панелей APT34 и полную очистку серверов группы, что якобы было делом рук самого Lab Dookhtegan.

apt34-bios-destroy.jpg

apt34-destroy-server.jpg


Аналитики Chronicle полагают, что теперь APT34 придется серьезно изменить свой инструментарий, и пройдет какое-то время, прежде чем группа сможет полностью вернуться в состояние боевой готовности. Также можно предположить, что у APT34 теперь появятся подражатели и имитаторы, хотя широкого использования утекших инструментов, по словам аналитиков, ждать не приходится. Дело в том, что решения группировки далеко не такие сложные и комплексные, как, например, инструментарий спецслужб, похищенный хак-группой Shadow Brokers.


Источник: xakep
Ссылка на полный дамп
(пароль местный)
 
Последнее редактирование модератором:
Eject сказал(а):
В середине марта 2019 года некто Lab Dookhtegan обнародовал в Telegram инструменты иранской APT34 (она же Oilrig и HelixKitten), а также информацию о жертвах хакеров и сотрудниках Министерства информации и национальной безопасности Ирана, которые якобы связаны с операциями группировки.
Журналисты издания ZDNet, которым удалось пообщаться с Lab Dookhtegan, пишут, что, по его словам, он принимал участие в кампании DNSpionage и был членом APT34. Однако никаких доказательств этому нет, и Lab Dookhtegan вполне может оказаться сотрудником совсем не иранских спецслужб.

В Telegram были опубликованы исходные коды шести следующих инструментов APT34:
  • Glimpse (новая версия PowerShell трояна, который эксперты Palo Alto Networks называют BondUpdater);
  • PoisonFrog (старая версия BondUpdater);
  • HyperShell (web shell, известный Palo Alto Networks как TwoFace);
  • HighShell (еще один web shell);
  • Fox Panel (фишинговый набор);
  • Webmask (основной инструмент, использованный в компании DNSpionage).


По данным ZDNet, в настоящее время анализом этих решений занимаются многие ИБ-компании. Подлинность исходных кодов изданию уже подтвердили специалисты Chronicle, подразделения кибербезопасности холдинга Alphabet.
Помимо исходных кодов Lab Dookhtegan также обнародовал в открытом доступе данные о 66 жертвах APT34, обнаруженные на управляющих серверах группировки. Среди опубликованной информации, в числе прочего, были учетные данные от внутренних серверов и IP-адреса пользователей. В основном в этот список пошли компании и организации из стран Ближнего Востока, Африки, Восточной Азии и Европы. Два наиболее крупных имени среди пострадавших – это компании Etihad Airways и Emirates National Oil. Список всех жертв можно увидеть здесь.



Также Lab Dookhtegan «слил» и данные о прошлых операциях группы, включая списки IP-адресов и доменов, где группировка ранее хостила web sell’ы и другие оперативные данные.



Кроме того, анонимный изобличитель потратил немало времени на доксинг сотрудников Министерства информации и национальной безопасности Ирана, которые якобы принимали участие в операциях APT34. Для некоторых офицеров Lab Dookhtegan создал специальные PDF-файлы с «досье», где раскрыл их имена, должности, приложил фотографии, номера телефонов, email-адреса и ссылки на профили в социальных медиа. Журналисты отмечают, что негативное отношение Lab Dookhtegan к этим людям сложно не заметить, ведь в своих постах и «досье» он называет их не иначе, как «беспощадными преступниками».
Помимо вышеперечисленного, в Telegram были опубликованы скриншоты, демонстрирующие уничтожение контрольных панелей APT34 и полную очистку серверов группы, что якобы было делом рук самого Lab Dookhtegan.

apt34-bios-destroy.jpg

apt34-destroy-server.jpg


Аналитики Chronicle полагают, что теперь APT34 придется серьезно изменить свой инструментарий, и пройдет какое-то время, прежде чем группа сможет полностью вернуться в состояние боевой готовности. Также можно предположить, что у APT34 теперь появятся подражатели и имитаторы, хотя широкого использования утекших инструментов, по словам аналитиков, ждать не приходится. Дело в том, что решения группировки далеко не такие сложные и комплексные, как, например, инструментарий спецслужб, похищенный хак-группой Shadow Brokers.


Источник: xakep
Ссылка на полный дамп
(пароль местный)


what is the password of the mega file at the end ?
 
[QUOTE = "Eject, post: 162965, member: 177140"]
In mid-March 2019, a certain Lab Dookhtegan published on Telegram the Iranian tools APT34 (aka Oilrig and HelixKitten), as well as information about the victims of hackers and employees of the Ministry of Information and National Security of Iran, who are allegedly associated with the group’s operations.
Journalists from ZDNet , who managed to talk with Lab Dookhtegan, write that, according to him, he participated in the DNSpionage campaign and was a member of APT34. However, there is no evidence for this, and Lab Dookhtegan may well be an employee of non-Iranian special services.

The source codes for the six following APT34 tools were published on Telegram:
  • Glimpse (a new version of the PowerShell trojan that Palo Alto Networks experts call BondUpdater );
  • PoisonFrog (old version of BondUpdater);
  • HyperShell (web shell, known by Palo Alto Networks as TwoFace );
  • HighShell (another web shell);
  • Fox Panel (phishing kit);
  • Webmask (the main tool used by DNSpionage ).


According to ZDNet, many security companies are currently analyzing these solutions. The authenticity of the source codes for the publication has already been confirmed by specialists from Chronicle, the Alphabet holding’s cybersecurity division.
In addition to the source code, Lab Dookhtegan also made publicly available data on 66 APT34 victims found on the group’s management servers. Among the published information, among other things, were credentials from internal servers and IP addresses of users. Mostly companies and organizations from the countries of the Middle East, Africa, East Asia and Europe went to this list. The two largest names among the victims are Etihad Airways and Emirates National Oil. A list of all victims can be seen here .



Lab Dookhtegan also “leaked” data on the group’s past operations, including lists of IP addresses and domains where the group previously hosted web sells and other operational data.



In addition, an anonymous whistleblower spent a lot of time docking employees of the Iranian Ministry of Information and National Security, who allegedly took part in APT34 operations. For some officers, Lab Dookhtegan created special PDF files with a “dossier”, where he revealed their names, positions, attached photos, phone numbers, email addresses and links to social media profiles. Journalists note that Lab Dookhtegan’s negative attitude towards these people is hard to miss, because in his posts and "dossiers" he calls them nothing more than "merciless criminals."
In addition to the above, screenshots were published in Telegram demonstrating the destruction of the APT34 control panels and the complete cleaning of the group's servers, which supposedly was the work of Lab Dookhtegan himself.

apt34-bios-destroy.jpg

apt34-destroy-server.jpg


Chronicle analysts believe that now the APT34 will have to seriously change its instrumentation, and it will be some time before the group can fully return to a state of alert. It can also be assumed that APT34 will now have imitators and imitators, although there is no reason to expect widespread use of leaked tools, according to analysts. The fact is that the group's decisions are far from being so complicated and complex, as, for example, the special services tools stolen by the hack band Shadow Brokers .


Source: xakep
Link to full dump
(local password)
[/ QUOTE]
What you just send is a trailer. There are even more leaks and informations on lab dookhtegan telegram channel and they have exposed much more Iranian cybercriminals after that. Here is there telegram channel:
t.me/lab_dookhtegan
 
[QUOTE = "foxie, post: 237923, member: 199583"]
[QUOTE = "Eject, post: 162965, member: 177140"]
In mid-March 2019, a certain Lab Dookhtegan published on Telegram the Iranian tools APT34 (aka Oilrig and Helix Kitten), as well as information about the victims of hackers and employees of the Ministry of Information and National Security of Iran, who are allegedly associated with the group's operations.
Journalists from ZDNet , who managed to talk with Lab Dookhtegan, write that, according to him, he participated in the DNSpionage campaign and was a member of APT34. However, there is no evidence for this, and Lab Dookhtegan may well be an employee of non-Iranian special services.

The source codes for the six following APT34 tools were published on Telegram:
  • Glimpse (a new version of the PowerShell trojan that Palo Alto Networks experts call BondUpdater );
  • PoisonFrog (old version of BondUpdater);
  • HyperShell (web shell, known by Palo Alto Networks as TwoFace );
  • HighShell (another web shell);
  • Fox Panel (phishing kit);
  • Webmask (the main tool used by DNSpionage ).


According to ZDNet, many security companies are currently analyzing these solutions. The authenticity of the source codes for the publication has already been confirmed by specialists from Chronicle, the Alphabet holding's cybersecurity division.
In addition to the source code, Lab Dookhtegan also made publicly available data on 66 APT34 victims found on the group's management servers. Among the published information, among other things, were credentials from internal servers and IP addresses of users. Mostly companies and organizations from the countries of the Middle East, Africa, East Asia and Europe went to this list. The two largest names among the victims are Etihad Airways and Emirates National Oil. A list of all victims can be seen here .



Lab Dookhtegan also “leaked” data on the group's past operations, including lists of IP addresses and domains where the group previously hosted web sells and other operational data.



In addition, an anonymous whistleblower spent a lot of time docking employees of the Iranian Ministry of Information and National Security, who allegedly took part in APT34 operations. For some officers, Lab Dookhtegan created special PDF files with a “dossier”, where he revealed their names, positions, attached photos, phone numbers, email addresses and links to social media profiles. Journalists note that Lab Dookhtegan's negative attitude towards these people is hard to miss, because in his posts and "dossiers" he calls them nothing more than "merciless criminals."
In addition to the above, screenshots were published in Telegram demonstrating the destruction of the APT34 control panels and the complete cleaning of the group's servers, which supposedly was the work of Lab Dookhtegan himself.

apt34-bios-destroy.jpg

apt34-destroy-server.jpg


Chronicle analysts believe that now the APT34 will have to seriously change its instrumentation, and it will be some time before the group can fully return to a state of alert. It can also be assumed that APT34 will now have imitators and imitators, although there is no reason to expect widespread use of leaked tools, according to analysts. The fact is that the group's decisions are far from being so complicated and complex, as, for example, the special services tools stolen by the hack band Shadow Brokers .


Source: xakep
Link to full dump
(local password)
[/ QUOTE]
What you just send is a trailer. There are even more leaks and informations on lab dookhtegan telegram channel and they have exposed much more Iranian cybercriminals after that. Here is there telegram channel:
t.me/lab_dookhtegan
[/ QUOTE]


[/ QUOTE]


WHAT is the main reason behind the leaks whats is the full story?
why are they doing this and what is the revenge they are talking about?
who is satanic2000?
 
Последнее редактирование:
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх