APT34组织攻击工具泄露,惊现国内网站webshell

APT34是一个活跃在伊朗的APT攻击组织,又名“人面马”、Oilrig、Cobalt Gypsy。该组织自2014年开始活动,主要攻击目标在中东地区,对政府、金融、能源、电信等各行业都进行过攻击。

该工具集在今年3月份开始被黑客在一个名为 Lab Dookhtegan的Telegram频道上进行出售。尽管本次泄露的黑客工具并没有2017年NSA泄露的黑客工具那么复杂,但依然具有一定的危险性。

泄露的黑客工具主要有如下:
-  Glimpse(基于PowerShell的的新版木马)
-  PoisonFrog(旧版BondUpdater)
-  HyperShell(Webshell)
-  HighShell(Webshell)
-  Fox Panel(钓鱼工具包)
-  Webmask(DNS隧道工具)


伴随泄露的工具集中还有一部分受害者的信息,其中包含一个名为webshells.csv的文档,里面记录了118条不同国家网站的webshell信息,在这些webshell中我们发现了12个国内网站的webshell,涉及中国节能环保集团、中铁建、上海柴油机等国内公司。经过测试部分webshell仍然存在。从这些webshell可以看出APT34组织曾经对这些公司发动过攻击。







最后编辑麦青儿 最后编辑于 2019-04-19 14:54:44