随着俄羅斯和烏克蘭沖突的加劇,黑客團隊開始選邊加入。2月25日,Conti 勒索軟體組織的核心成員在其官方網站上釋出了一條激進的親俄資訊,表示他們将全力支援俄羅斯政府,并威脅要對任何攻擊俄羅斯的黑客發起網絡攻擊。
圖:Conti組織支援俄羅斯的聲明
這些消息似乎激怒了一名烏克蘭的安全研究人員。2月27日,該研究人員入侵了該團夥的内部 Jabber/XMPP 伺服器,并将内部日志通過電子郵件發送給多名記者和安全研究人員;同時在接下來的幾天内,該成員陸續公布了大量的Conti組織内部資料。洩露的資料如下表所示。
表格:資料洩露時間表
安恒獵影實驗室對一些主要的洩露檔案進行了分析。
01
聊天記錄
最開始洩露的檔案,于2月27日通過郵件洩露給多名記者和安全研究人員,内容是從Conti組織的Jabber伺服器中竊取的聊天記錄,共339個json檔案,每個檔案包括一整天的聊天記錄,時間跨度從2021年1月29日到2022年2月27日,且研究人員已證明了對話的真實性。
圖:聊天記錄具體内容
從聊天記錄中,我們可以發現許多有價值的資訊,包括:
Conti的成員在組織内部的名稱
顯示Conti與TrickBot和Emotet惡意軟體團夥關系的消息,前者經常從後者那裡租用受感染計算機的通路權限來部署他們的惡意軟體
确認TrickBot僵屍網絡在本月早些時間已經關閉
一些未被披露的勒索軟體事件
超過200個Conti組織的比特币位址
組織的内部工作流程
Conti組織的TTP
......
後續該研究人員又持續更新了聊天記錄,甚至包括在洩露資料之後,Conti組織的聊天記錄。
02
Conti源代碼
該人員最開始洩露了一個包括builder、decryptor和locker三個元件源代碼的加密壓縮包,并沒有給出密碼,聲稱是防止造成過大的損害;但是随即他又洩露了一個不帶密碼的源代碼壓縮包,并從中删去了locker元件的實作代碼。
圖:該成員拒絕提供壓縮包密碼
03
内部元件代碼
Conti使用的大部分代碼似乎都是開源軟體,例如兩個PHP架構yii2和Kohana,用作了管理面闆代碼的一部分。
圖:對Yii架構代碼的利用
04
洩露IOC彙總
獵影實驗室對本次洩露事件産生的IOC進行了彙總。具體内容見附錄。這些IOC的價值如下表所示。
注:本文由E安全編譯報道。