巴以冲突中的各路窃密黑客 - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

网络安全

巴以冲突中的各路窃密黑客

2023-11-01 19:34:07

本文由创作，已纳入「FreeBuf原创奖励计划」，未授权禁止转载

巴以冲突持续发酵，战场形势愈演愈烈，在网络空间中的交火也一直未停止，双方的支持者都在互相进行网络攻击表达自己的立场。近期，研究人员发现各路攻击者持续使用各种恶意软件（如 Redline Stealer 与 PrivatedLoader 等）针对以色列平民、企业与关键实体进行攻击，造成了大量的数据泄露与相关服务的中断。这些黑客组织大都十分高调宣布自己的攻击行为，并且将窃取的数据对外公开，造成了巨大的损失。

Haghjhoyan

1698838024_654236082fcc1c655851c.png!small?1698838024541

组织Logo

1698838042_6542361adfebe363fd025.png!small

对以色列公用设施的袭击

2023 年 10 月 15 日至 19 日间，该组织持续发布攻击信息与数据泄密信息。该组织声称已经入侵了超过 1000 台以色列计算机，并表示“这是巴勒斯坦儿童送给以色列黑客与混蛋人民的礼物”。

1698838091_6542364b1256de544e8a2.png!small?1698838091694

对以色列公众的袭击

根据 Haghjhoyan 在 Telegram 频道中分享的屏幕截图，分析人员推测攻击者使用社会工程学诱饵诱使受害者下载并执行恶意软件。截图中引人注目的文件名有：

Frosty Mod Manager 1.0.6.0 (Beta 4) (FIFA 19)
Subinfeudated Oat.exe
Default-Dark-Mode-1.20-2023.6.0.zip

这些文件与游戏有关，例如 FIFA 与 Minecraft。从攻击者共享的数据来看，攻击者以游戏为诱饵，通过 Discord、Whatsapp 与 Telegram 等社交媒体进行投递。攻击者通过免费的游戏模组，针对 Roblox、Minecraft 与 FIFA 等受欢迎的游戏的目标用户，针对普通人进行攻击。

文件 IL-ISRAEL-25PCS-2023.rar 中包含日志格式的数据，意味着攻击者可能使用 Redline Stealer 等恶意软件。

1698838115_6542366304d36a7738aed.png!small?1698838115497

日志与 Redline Stealer 有关

攻击者泄露的另一张截图，可以根据运行的文件名为 SHA-1 哈希值（0b0123d06d46aa035e8f09f537401ccc1ac442e0）查找到样本文件。该文件是 2019 年 Redline Stealer 公开的样本文件，并不是本次攻击行动所独有的。

1698838130_65423672115c24ba6303f.png!small?1698838130786

运行的样本文件

Haghjhoyan 屏幕截图中，有线索表明攻击者也使用了名为 PrivateLoader 等恶意软件。

1698838151_6542368735a53cb082dc3.png!small?1698838151876

Subinfeudated Oat 恶意软件

上图为 PrivateLoader 的一个样本文件，这是一种商业恶意软件，通常用于下载和启动其他恶意软件 Payload。攻击者通过这种方式绕过安全检测，其他的 Loader 也是如此，例如 Smoke Loader。

通过这两个样本文件，分析人员发现攻击者针对以色列使用 PrivateLoader 和 Redline Stealer 进行攻击。Haghjhoyan 积极通过 Redline 进行数据窃取，并且在 2023 年 10 月 24 日将 Telegram 频道转为私有。

Soldiers of Solomon

1698838178_654236a297c96de93fa26.png!small?1698838178899

组织Logo

名为 Soldiers of Solomon 的黑客组织也针对以色列的关键信息基础设施进行了大量攻击，该组织声称定制开发了名为 Crucio 的勒索软件。2023 年 10 月 18 日，Soldiers of Solomon 通过 BreachForums 论坛宣布攻击开始。

1698838197_654236b56b92c900b80d3.png!small?1698838197437

勒索软件攻击宣言

Soldiers of Solomon 通过公开的 Telegram 频道发布了攻击宣言：“Soldiers of Solomon 已经完全控制了 Nevatim 军事控制区的 50 多台服务器、安全摄像头与智能城市管理系统，并且通过定制的 Crucio 勒索软件窃取了高达 25TB 的数据”。

攻击者将部分数据上传到 MediaFire，如下所示：

1698838213_654236c5e7c613fd56177.png!small?1698838213971

证明信息

这些截图中大部分都是 Windows 系统，其中包含一个该组织定制的、包含反以色列的信息：

1698838231_654236d7068d5f2fb5c44.png!small?1698838231560

失陷主机截图

从截图中可以看出，文档的文件名为 ref.jpg：

1698838246_654236e665a09de3f48b2.png!small?1698838246368

图片文件

分析人员仍然在分析 Curcio 勒索软件，完整的信息尚未披露。攻击组织重新开发现有的恶意软件构建工具，再次进行攻击也并非完全不可能。

Cyb3r Drag0nz Team

1698838268_654236fc93edf8c38aa52.png!small?1698838269129

组织Logo

Cyb3r Drag0nz Team 是一个黑客组织，经常发起 DDoS 攻击或者参与网络攻击进行数据窃取。该组织因为针对以色列发起攻击而备受赞扬，包括以色列空军官方网站都被该组织进行 DDoS 攻击。

该组织发布了多个 RAR 压缩文件，声称已经窃取并泄露了超过 100 万以色列人的个人信息。该组织广泛利用各种社交媒体宣布攻击目标与入侵行动，例如 Instagram、Twitter、Telegram 以及 Facebook 和 Youtube 等。

1698838287_6542370f17e137e2e494a.png!small?1698838287541

泄露6000名以色列公民信息

最近，该组织在 Telegram 频道中宣布已经窃取超过 100 万以色列人的个人信息。

1698838308_65423724d8f03b7f7efd6.png!small?1698838309462

泄露信息

该组织发布的压缩文件 Israel Leaked By Cyb3r Drag0nz Team.rar 中，一些已经被其他组织泄露过，有一些则是新的数据。

1698838327_65423737c4499839fcb63.png!small?1698838329492

披露的文件

结论

本轮巴以冲突持续发酵，各路黑客组织也持续活跃。尽管这些黑客组织的规模相对较小，但持续不断提高自己的攻击技术水平。每一次成功的攻击，都会将普通人置于危险之中。这些黑客组织的成熟度与能力相对较差，攻击者也需要依赖 Redline 与 PrivateLoader 等成熟的工具，攻击者定制化开发的能力并不高。

IOC

0b0123d06d46aa035e8f09f537401ccc1ac442e0
a25e93b1cf9cf58182241a1a49d16d6c26a354b6
8ade64ade8ee865e1011effebe338aba8a7d931b

参考来源

Sentinelone

# 黑客组织 # 以色列 # 巴以冲突 # 巴勒斯坦 # 黑客主义

已在FreeBuf发表 0 篇文章

本文为独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022

被以下专辑收录，发现更多精彩内容

+ 收入我的专辑

+ 加入我的收藏

展开更多