隨著俄羅斯和烏克蘭衝突的加劇,駭客團隊開始選邊加入。2月25日,Conti 勒索軟體組織的核心成員在其官方網站上釋出了一條激進的親俄資訊,表示他們將全力支援俄羅斯政府,並威脅要對任何攻擊俄羅斯的駭客發起網路攻擊。
圖:Conti組織支援俄羅斯的宣告
這些訊息似乎激怒了一名烏克蘭的安全研究人員。2月27日,該研究人員入侵了該團伙的內部 Jabber/XMPP 伺服器,並將內部日誌透過電子郵件傳送給多名記者和安全研究人員;同時在接下來的幾天內,該成員陸續公佈了大量的Conti組織內部資料。洩露的資料如下表所示。
表格:資料洩露時間表
安恆獵影實驗室對一些主要的洩露檔案進行了分析。
01
聊天記錄
最開始洩露的檔案,於2月27日透過郵件洩露給多名記者和安全研究人員,內容是從Conti組織的Jabber伺服器中竊取的聊天記錄,共339個json檔案,每個檔案包括一整天的聊天記錄,時間跨度從2021年1月29日到2022年2月27日,且研究人員已證實了對話的真實性。
圖:聊天記錄具體內容
從聊天記錄中,我們可以發現許多有價值的資訊,包括:
Conti的成員在組織內部的名稱
顯示Conti與TrickBot和Emotet惡意軟體團伙關係的訊息,前者經常從後者那裡租用受感染計算機的訪問許可權來部署他們的惡意軟體
確認TrickBot殭屍網路在本月早些時間已經關閉
一些未被披露的勒索軟體事件
超過200個Conti組織的比特幣地址
組織的內部工作流程
Conti組織的TTP
……
後續該研究人員又持續更新了聊天記錄,甚至包括在洩露資料之後,Conti組織的聊天記錄。
02
Conti原始碼
該人員最開始洩露了一個包括builder、decryptor和locker三個元件原始碼的加密壓縮包,並沒有給出密碼,聲稱是防止造成過大的損害;但是隨即他又洩露了一個不帶密碼的原始碼壓縮包,並從中刪去了locker元件的實現程式碼。
圖:該成員拒絕提供壓縮包密碼
03
內部元件程式碼
Conti使用的大部分程式碼似乎都是開源軟體,例如兩個PHP框架yii2和Kohana,用作了管理面板程式碼的一部分。
圖:對Yii框架程式碼的利用
04
洩露IOC彙總
獵影實驗室對本次洩露事件產生的IOC進行了彙總。具體內容見附錄。這些IOC的價值如下表所示。
注:本文由E安全編譯報道。