欢迎来到安联智库seczk.com--做最好网安新媒体!!
快捷搜索:  热点  资讯  事件  漏洞  技术  攻防  

模仿影子经纪人?有人出售在SolarWinds攻击中盗取的数据

 

一个名为solarleaks.net的网站公布了4个待售卖的数据,其生成,数据均通过Solarwinds供应链事件中攻击获取。


640.webp.jpg


这个站点发布价目表如下

[Microsoft Windows(部分)源代码和各种Microsoft存储库] 

价格:60万美元 

数据:msft.tgz.enc(2.6G) 


[思科多种产品源代码+内部bugtracker数据] 

价格:50万美元

数据:csco.tgz.enc(1.7G) 


[SolarWinds产品源代码(全部包括Orion)+客户门户数据] 

价格:25万美元 

数据:swi.tgz.enc(612M) 


[FireEye私有redteam工具,源代码,二进制文件和文档] 

价格:5万美元 

数据:feye.tgz.enc(39M) 


这里的FireEye可以见此:APT组织分析公司火眼被APT组织入侵,红队工具被窃


4个一起团购价,100万美元即可打包带走。


而这4个文件下回来之后,经过二道的确认发现文件实际上是已经加密的情况,加密方法和之前影子经纪人的售卖方式一致。


必须要通过邮件交流,付费后才能获取到解密密钥。


当年影子经纪人也就是shadowbroker,在2016年8月公布“eqgrp-free-file.tar.xz.gpg“和”eqgrp-auction-file.tar.xz.gpg“两个文件,其中提供了第一个a文件的密码。2017年4月9日,“eqgrp-auction-file.tar.xz.gpg”文件解开密码。


此外,solarleaks.net域名通过域名隐私保护平台NJALLA进行注册,俄罗斯黑客组织Fancy Bear和Cozy Bear经常在那购置域名进行攻击活动。

640.webp (1).jpg


而影子经纪人据称就是来自俄罗斯的黑客组织。


因此,可以说明一点,这个网站的建立者至少是非常了解影子经纪人此前的活动。


最后,复现一下该域名的ns记录,确实是在进行嘲讽(you can get)

微信截图_20210114091808.png

9999.jpg


暂无

您可能还会对下面的文章感兴趣: