05/06/19
В Сети в открытом доступе оказался инструмент для взлома учетных записей пользователей Microsoft Exchange, которым предположительно пользуется киберпреступная группировка OilRig (другие названия APT34 и HelixKitten). Инструмент под названием Jason не детектируется антивирусными решениями на VirusTotal.
Jason появился на Telegram-канале в понедельник, 3 июня. По словам владельца канала, инструментом пользуется правительство Ирана для «взлома электронной почты и кражи информации».
По своей сути Jason является инструментом для брутфорса – программа подбирает пароли к учетной записи до тех пор, пока не найдет нужный. Jason подбирает пароли из прилагающегося к нему списка образцов и четырех текстовых файлов с числовыми шаблонами. Как отметил вице-президент компании Minerva Labs Омри Сегев Мойал (Omri Segev Moyal), проанализировавший программу, Jason представляет собой «сравнительно простой инструмент для брутфорс-атак на online-сервисы обмена данными».
По данным VirusTotal, утилита была скомпилирована в 2015 году, однако на момент утечки Jason не детектировался ни одним решением безопасности. Инструмент был выложен в Сеть кем-то под псевдонимом Lab Dookhtegan, начавшим публиковать инструменты из арсенала группировки OilRig 26 марта текущего года. Исследователи безопасности, изучившие выложенные ранее инструменты, подтвердили, что они являются подлинными и действительно использовались в операциях OilRig.
