安全快讯
首页 > 新闻报道 > 安全快讯> 正文

疑似俄罗斯黑客团体Fancy Bear使用的攻击程序源码文件

近期,安全研究人员在Github上发现了疑似俄罗斯黑客团体Fancy Bear使用的网络攻击相关源代码程序,这些程序用于攻击端与受害端的通信控制。

作者:clouds来源:Freebuf|2017-01-10 15:02:52

近期,安全研究人员在Github上发现了疑似俄罗斯黑客团体Fancy Bear使用的网络攻击相关源代码程序,这些程序用于攻击端与受害端的通信控制。通过分析发现,黑客使用了Gmail邮箱进行加密信息的接发交流。而据源码分享者表示,这些文件是在黑客的某台C&C中转服务器上发现的。

程序源码Github

https://github.com/rickey-g/fancybear

源代码语法信息

程序评论都是英文,但有很多语法错误;

MailServer.py文件中,涉及的某封电子邮件主题为电子邮件主题为“piradi nomeri”,在格鲁吉亚语中是“私人号码”之意;

MailServer.py文件中,规定了邮件附件的保存方式为detaluri_timetsamp.dat,而“detaluri”为格鲁吉亚语“detail”之意;

MailServer.py中某邮件主体内容出现了“gamarjoba”一词,其为格鲁吉亚语“Hello”之意。

涉及的Gmail账户信息

(经验证发现,都为一次性使用,相关密码信息已不可登录):

POP3_MAIL_IP = ‘pop.gmail.com’

POP3_PORT = 995

POP3_ADDR = ‘jassnovember30@gmail.com’

POP3_PASS = ’30Jass11′

SMTP_MAIL_IP = ‘smtp.gmail.com’

SMTP_PORT = 587

SMTP_TO_ADDR = ‘userdf783@mailtransition.com’

SMTP_FROM_ADDR = ‘ginabetz75@gmail.com’

SMTP_PASS = ’75Gina75′

涉及的命令和控制服务器

XAS_IP = ’104.152.187.66′

XAS_GATE = ‘/updates/’

目前,经卡巴斯基首席安全专家Aleks Gostev(@codelancer)证实,Fancy Bear使用这些程序发起了针对格鲁吉亚目标的攻击,并且其中的代码与ESET在2016年10月发现的Fancy Bear APT样本一致,参考ESET分析报告《Sednit:Observing the Comings and Goings》。另外,有分析人员还在网站http://trasitionmail.com/mail2/发现了最早于2015年2月出现的相同源代码程序。

【责任编辑:clouds 】

分享:

安全快讯+更多

多少次,她说是在工作,但是诡异的第六感告诉我们,她在撒谎...
安识科技,是一家专注于账号安全、企业风险评估的技术型企业。旗下拥有基于云+端的自研产品多因素令牌、基于多重检测引擎的伏特漏洞扫描云平台等!
近日,国家信息安全漏洞共享平台(CNVD)收录了CNVD白帽子(ID:ayound)报送的Jackson框架enableDefaultTyping方法反序列化漏洞(CNVD-2017-04483)。
又公开了一波NSA黑客工具,可供下载;Word曝0day漏洞,打开文档就自动安装恶意程序;iOS 10.3.1高危WiFi芯片漏洞.
由上海GRCC公司主办,美国AutoHarvest协会、上海市信息服务业行业协会协办,由美国新思科技(Synopsys, Inc)、Green Hills Software, Inc.等联合赞助的2017 第二届中国汽车网络信息安全峰会于2月23日-24日在上海浦东顺利召开。