模仿影子经纪人?有人出售在SolarWinds攻击中盗取的数据

  • A+
所属分类:安全新闻

模仿影子经纪人?有人出售在SolarWinds攻击中盗取的数据


一个名为solarleaks.net的网站公布了4个待售卖的数据,其生成,数据均通过Solarwinds供应链事件中攻击获取。


模仿影子经纪人?有人出售在SolarWinds攻击中盗取的数据


这个站点发布价目表如下

[Microsoft Windows(部分)源代码和各种Microsoft存储库] 

价格:60万美元 

数据:msft.tgz.enc(2.6G) 


[思科多种产品源代码+内部bugtracker数据] 

价格:50万美元

数据:csco.tgz.enc(1.7G) 


[SolarWinds产品源代码(全部包括Orion)+客户门户数据] 

价格:25万美元 

数据:swi.tgz.enc(612M) 


[FireEye私有redteam工具,源代码,二进制文件和文档] 

价格:5万美元 

数据:feye.tgz.enc(39M) 


这里的FireEye可以见此:APT组织分析公司火眼被APT组织入侵,红队工具被窃


4个一起团购价,100万美元即可打包带走。


而这4个文件下回来之后,经过二道的确认发现文件实际上是已经加密的情况,加密方法和之前影子经纪人的售卖方式一致。


必须要通过邮件交流,付费后才能获取到解密密钥。


当年影子经纪人也就是shadowbroker,在2016年8月公布“eqgrp-free-file.tar.xz.gpg“和”eqgrp-auction-file.tar.xz.gpg“两个文件,其中提供了第一个a文件的密码。2017年4月9日,“eqgrp-auction-file.tar.xz.gpg”文件解开密码。


此外,solarleaks.net域名通过域名隐私保护平台NJALLA进行注册,俄罗斯黑客组织Fancy Bear和Cozy Bear经常在那购置域名进行攻击活动。

模仿影子经纪人?有人出售在SolarWinds攻击中盗取的数据


而影子经纪人据称就是来自俄罗斯的黑客组织。


因此,可以说明一点,这个网站的建立者至少是非常了解影子经纪人此前的活动。


最后,复现一下该域名的ns记录,确实是在进行嘲讽(you can get)

模仿影子经纪人?有人出售在SolarWinds攻击中盗取的数据


模仿影子经纪人?有人出售在SolarWinds攻击中盗取的数据

本文始发于微信公众号(二道情报贩子):模仿影子经纪人?有人出售在SolarWinds攻击中盗取的数据

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: