欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

疑似俄罗斯黑客团体Fancy Bear使用的攻击程序源码文件

来源:本站整理 作者:佚名 时间:2017-01-11 TAG: 我要投稿


近期,安全研究人员在Github上发现了疑似俄罗斯黑客团体Fancy Bear使用的网络攻击相关源代码程序,这些程序用于攻击端与受害端的通信控制。通过分析发现,黑客使用了Gmail邮箱进行加密信息的接发交流。而据源码分享者表示,这些文件是在黑客的某台C&C中转服务器上发现的。


程序源码Github
https://github.com/rickey-g/fancybear
源代码语法信息
程序评论都是英文,但有很多语法错误;
MailServer.py文件中,涉及的某封电子邮件主题为电子邮件主题为“piradi nomeri”,在格鲁吉亚语中是“私人号码”之意;
MailServer.py文件中,规定了邮件附件的保存方式为detaluri_timetsamp.dat,而“detaluri”为格鲁吉亚语“detail”之意;
MailServer.py中某邮件主体内容出现了“gamarjoba”一词,其为格鲁吉亚语“Hello”之意。
涉及的Gmail账户信息
(经验证发现,都为一次性使用,相关密码信息已不可登录):
POP3_MAIL_IP = ‘pop.gmail.com’
POP3_PORT = 995
POP3_ADDR = ‘jassnovember30@gmail.com’
POP3_PASS = ’30Jass11′
SMTP_MAIL_IP = ‘smtp.gmail.com’
SMTP_PORT = 587
SMTP_TO_ADDR = ‘userdf783@mailtransition.com’
SMTP_FROM_ADDR = ‘ginabetz75@gmail.com’
SMTP_PASS = ’75Gina75′
涉及的命令和控制服务器
XAS_IP = ’104.152.187.66′
XAS_GATE = ‘/updates/’
目前,经卡巴斯基首席安全专家Aleks Gostev(@codelancer)证实,Fancy Bear使用这些程序发起了针对格鲁吉亚目标的攻击,并且其中的代码与ESET在2016年10月发现的Fancy Bear APT样本一致,参考ESET分析报告《Sednit:Observing the Comings and Goings》。另外,有分析人员还在网站http://trasitionmail.com/mail2/发现了最早于2015年2月出现的相同源代码程序。

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载