В некоторых видеороликах оператор управлял созданными учетными записями.

Исследователи безопасности из команды IBM X-Force Incident Response Intelligence Services (IRIS) в ходе мониторинга виртуального облачного сервера иранской киберпреступной группировки ITG18 (также известной как APT35, Phosphorus, Charming Kitten и Ajax Security Team) обнаружили 40 ГБ данных, среди которых были украденная информация взломанных учетных записей и видеоролики. Иследователи смогли получить доступ к данным благодаря тому, что хакеры не позаботились о должной защите своего сервера, неправильно сконфигурировав его настройки.

Как полагают эксперты, некоторые из обнаруженных видеороликов являются учебным пособием, которое иранская группировка использовала для обучения новобранцев. Видео было записано с помощью приложения для записи экрана под названием BandiCam. В некоторых видеороликах было показано, как оператор управлял созданными учетными записями, а в других проверял доступ и похищал данные из ранее взломанных учетных записей. Также были зафиксированы неудачные попытки фишинга, нацеленные против ирано-американского мецената и должностных лиц Государственного департамента США.

Специалистам удалось идентифицировать и позднее уведомить некоторых из жертв, изображенных на видео, в том числе военнослужащего ВМС США, а также офицера ВМС Греции.

В пяти видеофайлах с названиями «AOL.avi», «Aol Contact.avi», «Gmail.avi», «Yahoo.avi», «Hotmail.avi» оператор использует файл «Блокнот», содержащий по одному набору учетных данных для каждой платформы, и в каждом видеоролике подбирает их для соответствующих web-сайтов. Также на видео демонстрируется фильтрация различных наборов данных, связанных с этими платформами, включая контакты, фотографии и облачное хранилище.

Оператор также показывал изменение настроек в разделе безопасности каждой учетной записи и добавлял их в Zimbra, легитимную платформу для совместной работы с электронной почтой, которая может объединять многочисленные аккаунты электронной почты в один интерфейс. С помощью Zimbra оператор мог одновременно отслеживать и управлять различными скомпрометированными учетными записями электронной почты.

Источник: securitylab