伊朗黑客无意中在网上泄露了他们的培训视频（40GB）

一名伊朗威胁行为人的OPSEC错误揭示了黑客组织的内部运作，为“幕后调查他们的方法”提供了罕见的见解

IBM的X-Force事故响应情报服务（IRIS）获得了近五个小时的国家赞助组织的视频记录ITG18（也称为可爱的小猫,磷，或APT35），用于培训操作员。

视频中的一些受害者包括美国和希腊海军人员的个人账户，此外还有针对美国国务院官员和一名未具名的伊朗裔美国慈善家的钓鱼未遂尝试。

研究人员说：“一些视频显示，运营商管理对手创建的账户，而另一些视频显示，运营商正在测试访问权限，并从之前被泄露的账户中过滤数据。”。

IBM的研究人员说，他们在一个虚拟私有云服务器上发现了这些视频，由于安全设置的错误配置，这些视频一直暴露在外。今年早些时候，该服务器还被发现托管了多个ITG18域，它拥有超过40G的数据。


发现的视频文件显示，ITG18可以访问目标通过spear网络钓鱼获得的电子邮件和社交媒体凭据，使用这些信息登录账户，删除可疑登录通知，以免提醒受害者，并从Google Drive中过滤联系人、照片和文档。

研究人员指出：“运营商还可以登录受害者的谷歌外卖（Takeout.Google.com），用户可以从其谷歌账户导出内容，包括位置历史记录、来自Chrome的信息以及相关的Android设备。”。

除此之外，还有视频—；使用Bandicam的屏幕记录工具—；还显示，行动背后的参与者将受害者的凭据插入Zimbra的电子邮件协作软件，以监控和管理受损的电子邮件帐户。

研究人员称，除了电子邮件账户之外，他们还发现攻击者对至少75个不同的网站使用了一长串受损用户名和密码，从银行到视频和音乐流媒体，再到披萨递送和婴儿用品等琐事。


其他视频显示了ITG18集团利用雅虎！账户，其中包括一个伊朗国家代码为（+98）的电话号码，使用它们发送钓鱼邮件，其中一些邮件被退回，表明这些邮件没有到达受害者的收件箱。

研究人员说：“在运营商验证受害者凭据的视频中，如果运营商成功地对使用多因素身份验证（MFA）设置的网站进行了身份验证，他们会暂停并转到另一组凭据，而不会获得访问权限。”。

ITG18长期以来一直以美国和中东军事、外交和政府人员为目标进行情报收集和间谍活动，为伊朗的地缘政治利益服务。

如果说有什么区别的话，这项发现强调了需要通过使用更强大的密码、启用双因素身份验证、审查和限制对第三方应用的访问来保护您的帐户。

IBM X-Force的研究人员得出结论：“希腊和美国海军成员的个人档案被泄露，可能是为了支持与阿曼湾和阿拉伯湾发生的众多诉讼有关的间谍活动。”。“尽管多次公开披露和广泛报告了该集团的活动，但该集团仍表现出持续经营和持续创建新基础设施的能力。”