随着俄罗斯和乌克兰冲突的加剧,黑客团队开始选边加入。2月25日,Conti 勒索软件组织的核心成员在其官方网站上发布了一条激进的亲俄信息,表示他们将全力支持俄罗斯政府,并威胁要对任何攻击俄罗斯的黑客发起网络攻击。
图:Conti组织支持俄罗斯的声明
这些消息似乎激怒了一名乌克兰的安全研究人员。2月27日,该研究人员入侵了该团伙的内部 Jabber/XMPP 服务器,并将内部日志通过电子邮件发送给多名记者和安全研究人员;同时在接下来的几天内,该成员陆续公布了大量的Conti组织内部数据。泄露的数据如下表所示。
表格:数据泄露时间表
安恒猎影实验室对一些主要的泄露文件进行了分析。
01
聊天记录
最开始泄露的文件,于2月27日通过邮件泄露给多名记者和安全研究人员,内容是从Conti组织的Jabber服务器中窃取的聊天记录,共339个json文件,每个文件包括一整天的聊天记录,时间跨度从2021年1月29日到2022年2月27日,且研究人员已证实了对话的真实性。
图:聊天记录具体内容
从聊天记录中,我们可以发现许多有价值的信息,包括:
Conti的成员在组织内部的名称
显示Conti与TrickBot和Emotet恶意软件团伙关系的消息,前者经常从后者那里租用受感染计算机的访问权限来部署他们的恶意软件
确认TrickBot僵尸网络在本月早些时间已经关闭
一些未被披露的勒索软件事件
超过200个Conti组织的比特币地址
组织的内部工作流程
Conti组织的TTP
......
后续该研究人员又持续更新了聊天记录,甚至包括在泄露数据之后,Conti组织的聊天记录。
02
Conti源代码
该人员最开始泄露了一个包括builder、decryptor和locker三个组件源代码的加密压缩包,并没有给出密码,声称是防止造成过大的损害;但是随即他又泄露了一个不带密码的源代码压缩包,并从中删去了locker组件的实现代码。
图:该成员拒绝提供压缩包密码
03
内部组件代码
Conti使用的大部分代码似乎都是开源软件,例如两个PHP框架yii2和Kohana,用作了管理面板代码的一部分。
图:对Yii框架代码的利用
04
泄露IOC汇总
猎影实验室对本次泄露事件产生的IOC进行了汇总。具体内容见附录。这些IOC的价值如下表所示。
注:本文由E安全编译报道。