巴以冲突持续发酵,战场形势愈演愈烈,在网络空间中的交火也一直未停止,双方的支持者都在互相进行网络攻击表达自己的立场。
近期,研究人员发现各路攻击者持续使用各种恶意软件(如 Redline Stealer 与 PrivatedLoader 等)针对以色列平民、企业与关键实体进行攻击,造成了大量的数据泄露与相关服务的中断。这些黑客组织大都十分高调宣布自己的攻击行为,并且将窃取的数据对外公开,造成了巨大的损失。
Haghjhoyan
组织Logo
对以色列公用设施的袭击
2023 年 10 月 15 日至 19 日间,该组织持续发布攻击信息与数据泄密信息。该组织声称已经入侵了超过 1000 台以色列计算机,并表示“这是巴勒斯坦儿童送给以色列黑客与混蛋人民的礼物”。
对以色列公众的袭击
根据 Haghjhoyan 在 Telegram 频道中分享的屏幕截图,分析人员推测攻击者使用社会工程学诱饵诱使受害者下载并执行恶意软件。截图中引人注目的文件名有:
- Frosty Mod Manager 1.0.6.0 (Beta 4) (FIFA 19)
- Subinfeudated Oat.exe
- Default-Dark-Mode-1.20-2023.6.0.zip
这些文件与游戏有关,例如 FIFA 与 Minecraft。从攻击者共享的数据来看,攻击者以游戏为诱饵,通过 Discord、Whatsapp 与 Telegram 等社交媒体进行投递。攻击者通过免费的游戏模组,针对 Roblox、Minecraft 与 FIFA 等受欢迎的游戏的目标用户,针对普通人进行攻击。
文件 IL-ISRAEL-25PCS-2023.rar 中包含日志格式的数据,意味着攻击者可能使用 Redline Stealer 等恶意软件。
日志与 Redline Stealer 有关
攻击者泄露的另一张截图,可以根据运行的文件名为 SHA-1 哈希值(0b0123d06d46aa035e8f09f537401ccc1ac442e0)查找到样本文件。该文件是 2019 年 Redline Stealer 公开的样本文件,并不是本次攻击行动所独有的。
运行的样本文件
Haghjhoyan 屏幕截图中,有线索表明攻击者也使用了名为 PrivateLoader 等恶意软件。
Subinfeudated Oat 恶意软件
上图为 PrivateLoader 的一个样本文件,这是一种商业恶意软件,通常用于下载和启动其他恶意软件 Payload。攻击者通过这种方式绕过安全检测,其他的 Loader 也是如此,例如 Smoke Loader。
通过这两个样本文件,分析人员发现攻击者针对以色列使用 PrivateLoader 和 Redline Stealer 进行攻击。Haghjhoyan 积极通过 Redline 进行数据窃取,并且在 2023 年 10 月 24 日将 Telegram 频道转为私有。
Soldiers of Solomon
组织Logo
名为 Soldiers of Solomon 的黑客组织也针对以色列的关键信息基础设施进行了大量攻击,该组织声称定制开发了名为 Crucio 的勒索软件。2023 年 10 月 18 日,Soldiers of Solomon 通过 BreachForums 论坛宣布攻击开始。
勒索软件攻击宣言
Soldiers of Solomon 通过公开的 Telegram 频道发布了攻击宣言:“Soldiers of Solomon 已经完全控制了 Nevatim 军事控制区的 50 多台服务器、安全摄像头与智能城市管理系统,并且通过定制的 Crucio 勒索软件窃取了高达 25TB 的数据”。
攻击者将部分数据上传到 MediaFire,如下所示:
证明信息
这些截图中大部分都是 Windows 系统,其中包含一个该组织定制的、包含反以色列的信息:
失陷主机截图
从截图中可以看出,文档的文件名为 ref.jpg:
图片文件
分析人员仍然在分析 Curcio 勒索软件,完整的信息尚未披露。攻击组织重新开发现有的恶意软件构建工具,再次进行攻击也并非完全不可能。
Cyb3r Drag0nz Team
组织Logo
Cyb3r Drag0nz Team 是一个黑客组织,经常发起 DDoS 攻击或者参与网络攻击进行数据窃取。该组织因为针对以色列发起攻击而备受赞扬,包括以色列空军官方网站都被该组织进行 DDoS 攻击。
该组织发布了多个 RAR 压缩文件,声称已经窃取并泄露了超过 100 万以色列人的个人信息。该组织广泛利用各种社交媒体宣布攻击目标与入侵行动,例如 Instagram、Twitter、Telegram 以及 Facebook 和 Youtube 等。
泄露6000名以色列公民信息
最近,该组织在 Telegram 频道中宣布已经窃取超过 100 万以色列人的个人信息。
泄露信息
该组织发布的压缩文件 Israel Leaked By Cyb3r Drag0nz Team.rar 中,一些已经被其他组织泄露过,有一些则是新的数据。
披露的文件
结论
本轮巴以冲突持续发酵,各路黑客组织也持续活跃。尽管这些黑客组织的规模相对较小,但持续不断提高自己的攻击技术水平。每一次成功的攻击,都会将普通人置于危险之中。这些黑客组织的成熟度与能力相对较差,攻击者也需要依赖 Redline 与 PrivateLoader 等成熟的工具,攻击者定制化开发的能力并不高。
