IBM X-Force事件响应情报服务(IRIS)已发现有关可疑的伊朗威胁组织ITG18的罕见操作细节,该组织与Charming Kitten和Phosphorus重叠。在过去的几周中,ITG18与针对制药公司和美国总统竞选的目标相关联 。现在,由于怀疑ITG18员工的操作错误(一种基本的错误配置),X-Force IRIS分析师对一台服务器上运行着40 GB以上数据的服务器进行了分析。
很少有机会了解操作员在键盘后面的行为,甚至更罕见的还有操作员自己制作的记录其操作的录音。但这恰恰是X-Force IRIS在ITG18运营商身上发现的,该公司的OPSEC故障为他们的方法提供了独特的幕后观察,并有可能为可能进行的更广泛的操作打下基础。
IBM X-Force IRIS发现了什么
在2020年5月的三天内,IBM X-Force IRIS发现将40 GB的视频和数据文件上传到服务器,该服务器托管着2020年初活动中使用的多个ITG18域。一些视频显示了操作员管理对手创建的帐户,而其他一些视频则显示了操作员测试访问权限并从以前被破坏的帐户中窃取数据。
在IBM X-Force IRIS中发现的信息包括:
-
在将近五个小时的视频中,一名ITG18运营商从美国海军一名成员和一名在希腊海军服役了近二十年的人事干事的各种受损账户中搜索并窃取数据。使用这些帐户可以使运营商获得伊朗可能感兴趣的其他军事行动数据。
-
针对伊朗裔美国人慈善家和美国国务院官员的个人账户的网络钓鱼尝试失败。
-
与ITG18运营商相关的角色和伊朗电话号码。
IBM X-Force IRIS对这一威胁组的目标进行了纵向检查,表明ITG18已将其基础架构用于实现多种服务于短期和长期利益的多样化战略目标。ITG18至少自2013年以来一直活跃。该小组活动的标志包括通过针对伊朗政府众多具有战略意义的目标的网络钓鱼攻击进行凭据收集和电子邮件泄露操作。
培训视频
IBM X-Force IRIS发现的视频文件是使用名为Bandicam的工具进行的台式录像,范围为2分钟到2个小时。文件的时间戳表明,在将视频上传到由ITG18操作的服务器之前,大约已录制了一天。
图1:Bandicam录制的ITG18操作员桌面的图像捕获(来源:IBM X-Force IRIS)
在名为“ AOL.avi”,“ Aol Contact.avi”,“ Gmail.avi”,“ Yahoo.avi”,“ Hotmail.avi”的五个视频文件中,操作员使用一个记事本文件,每个文件包含一个凭据平台,然后逐个视频复制并将其粘贴到关联的网站中。操作员继续进行演示以展示如何提取与这些平台关联的各种数据集,包括联系人,照片和关联的云存储。
操作员采取的另一项措施是修改每个帐户的帐户安全性部分中的设置,以便将该帐户添加到Zimbra(一种合法的电子邮件协作平台,可以将多个电子邮件帐户聚合到一个界面中)。通过使用此平台,操作员可以同时监视和管理各种受感染的电子邮件帐户。
图2:ITG18操作员将其角色帐户同步到Zimbra的图像捕获(来源:IBM X-Force IRIS)
其中一些账户可能是威胁行动者角色-设计成对受害者真实的人。
运营商拥有的账户角色
培训视频中观察到的一些运营商拥有的帐户提供了与ITG18相关的角色的更多见解,例如带有伊朗国家代码的电话号码。IBM X-Force IRIS观察到“ Yahoo.avi”视频显示的是假角色的个人资料详细信息,我们将其称为“ Persona A”,其中包括带有+98国家代码(伊朗的国际国家代码)的电话号码。(参见图3)
图3:角色A具有与该帐户关联的伊朗电话号码(+98)(来源:IBM X-Force IRIS)
角色A背后的一名伊朗操作员的其他建议包括未成功向伊朗裔美国慈善家发送电子邮件的尝试,以及可能在2020年4月为美国国务院官员提供了两个个人电子邮件帐户,其中包括一个与美国虚拟大使馆相关联的帐户。该录音似乎在操作员的收件箱中显示了回弹电子邮件,通知他们尽管我们不知道这些主题,但这些可能的鱼叉式网络钓鱼电子邮件没有通过。这些人员的目标与先前的ITG18行动相符。
精准定位的传统
发现的三个视频文件表明,ITG18已成功破坏了与美国海军应征人员以及希腊海军一名军官相关的多个帐户。具体来说,ITG18拥有许多似乎是其个人电子邮件和社交媒体帐户的凭据,这是ITG18的共同特征,如先前的操作所示。
这些视频向操作员显示了与涉及角色角色账户的培训视频类似的剧本。一旦成功访问了受害人的帐户,ITG18操作员就会主动删除发送到受感染帐户的通知,提示可疑登录,以防止对受害人发出警报。
在将Webmail帐户凭据添加到Zimbra之前,该操作员从关联的云存储站点(例如Google Drive)中导出了所有帐户联系人,照片和文档,这大概是为了进行监控。该运营商还能够登录受害人的Google Takeout(takeout.google.com),允许用户从其Google帐户中导出内容,包括位置历史记录,Chrome中的信息以及相关的Android设备。
这包括获得受害者所拥有的其他关联帐户的权限,这说明了ITG18能够收集两名军事成员的信息的广度。在美国海军应征者身上泄露的个人档案中,包括与他们有联系的军事单位的细节,包括与他们有联系的海军基地。运营商收集了有关此受害者的大量个人信息,包括推测的住所,个人照片(包括大量自拍照和正在上演的房屋的视频),税收记录以及个人云存储站点的内容(请参见图4)。向希腊海军官员透露了类似的信息,包括来自Gmail帐户,与希腊大学关联的帐户和希腊海军薪资站点的信息。
图4:ITG18服务器上某些文件夹的屏幕快照。这些文件夹包含从受害者帐户中窃取的数据(来源:IBM X-Force IRIS)
对于非电子邮件账户,无论网站看起来多么琐碎,运营商都会验证凭据。运营商验证了网站的某些类别的凭证,包括视频和音乐流,比萨饼传送,信用报告,学生资助,市政公用事业,银行,婴儿用品,视频游戏和移动运营商,仅举几例。运营商似乎一直在认真收集有关个人的琐碎社会信息。总体而言,运营商试图验证两个人中至少75个不同网站的凭据。
如果凭据成功,则操作员会经常首先访问帐户详细信息页面,大概是在其中查看可用的敏感信息。还要注意的是,仅使用Chrome浏览器来验证凭据的操作员在检查与希腊海军成员相关的凭据时,经常使用内置的翻译功能将希腊语网站翻译为英语。
IBM X-Force IRIS找不到这两名军人的专业网络凭证遭到破坏的证据,并且似乎也没有提供任何专业信息。但是,威胁参与者可能正在军人的个人档案中搜索特定信息,这将使ITG18将其网络间谍活动进一步扩展到美国和希腊海军。
多因素身份验证迫使操作员进行数据透视
在操作员正在验证受害者凭据的视频中,如果操作员已针对通过多因素身份验证(MFA)设置的站点成功进行了身份验证,则他们将暂停并继续访问另一组凭据,而不会获得访问权限。
对更广泛的ITG18目标的意义
希腊和美国海军成员个人档案的妥协可能是为了支持与阿曼湾和阿拉伯湾发生的许多诉讼有关的间谍活动。值得注意的是,美国和希腊是战略盟友,有着近八十年的相互防御合作协议。希腊在东地中海的克里特岛设有美国海军基地。
在过去三年中,ITG18的某些目标类型保持了一致,而其他目标类型似乎与特定的地缘政治事件相关。例如,尽管ITG18在过去三年中一直以与伊朗有联系的个人为目标,但在2018年,该组织的目标是与美国外国资产控制办公室(该组织实施经济制裁)有关联的个人。这一时机与美国在扩大对伊朗制裁的全球让步到期时正在制定的新制裁相吻合。最近,ITG18的2020年4月针对伊朗的COVID-19的爆发,其药品行政对齐的飙升 2020三月底。
图5:ITG18目标时间表显示了其混合目标(来源:IBM X-Force IRIS)
无论出于何种动机,ITG18运营商的失误使IBM X-Force IRIS能够获得宝贵的见解,以了解该小组如何实现其目标行动并以其他方式培训其运营商。IBM X-Force IRIS将ITG18视为坚定的威胁组,并对其运营进行了大量投资。尽管多次公开披露信息并对该活动进行了广泛报道,该小组仍表现出对业务的执着和不断创造新的基础设施。
ITG18展示了其为符合伊朗战略利益的多个独特长期目标而开展的业务。该小组很可能已经在这些努力中取得了成功,因为过去几年来,其收集证书的操作节奏没有明显改变。
该发现还强调必须遵循某些重要的安全卫生习惯,包括:
使用多因素身份验证(MFA) –如果恶意行为者获得了您的凭据访问权限,则多因素身份验证可作为故障保护。作为最后一道防线,MFA提供了第二种形式的验证要求,以便访问帐户。
定期重置密码 –请勿在各个帐户中使用相同的密码,并定期更新密码。如果对所有帐户使用相同的密码,则如果一个帐户被盗用,则可能会遭受多种攻击。考虑使用唯一的密码短语和超过14个字符的密码来获得更强的密码。
使用密码管理器 –密码管理器可以为您生成更强大的密码,并且不需要您记住它们。
查看设置并限制从您的电子邮件访问第三方应用程序 –在某些情况下,操作员必须更改帐户首选项,以允许第三方应用程序与受感染的帐户连接。这些设置允许威胁参与者将他们具有的访问权限扩展到其他受害者。
有关ITG18战术,技术和程序(TTP)的更多分析,可通过TruSTAR 在我们的企业智能管理平台上获得,该平台最初于2020年6月2日发布。
负责任的披露
在调查过程中,并在可能的情况下,IBM X-Force IRIS通知了有关各方有关活动和被盗帐户的信息。
来源:
https://securityintelligence.com/posts/new-research-exposes-iranian-threat-group-operations/
原文始发于微信公众号(红数位):伊朗有关的黑客意外泄露40 GB文件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论