网络安全研究人员在对也门的两个网络犯罪组织——贝尔森集团和零七集团的运作模式及攻击方法进行深入调查后,发现这两个组织之间可能存在关联。
这一发现是在人们对针对多个大洲的关键基础设施和企业系统的复杂网络入侵活动日益担忧的背景下得出的。
贝尔森集团于2025年1月首次出现,当时他们泄露了来自15000多台易受攻击的飞塔(Fortinet)防火墙设备的1.6GB敏感数据,由此登上新闻头条。
泄露的信息包括IP地址、系统配置和虚拟专用网络(VPN)凭证,该团伙最初在BreachForums和其专用的基于洋葱网络(TOR)的博客上免费分享这些信息,以在网络犯罪社区中建立可信度。
该组织的攻击向量主要围绕利用CVE-2022-40684展开,这是FortiGate防火墙中一个严重的身份验证绕过漏洞,这表明他们在该漏洞公开披露前,已维持对受害者系统的访问超过两年。
ZeroSevenGroup是这两个实体中成立时间更长的一个,自2024年7月起开始活跃,最初在包括NulledTo在内的平台上运营,之后扩展到BreachForums、CrackedTo和Leakbase。
该团体专门研究数据变现策略,目标客户涵盖波兰、以色列、美国、阿联酋、俄罗斯和巴西的各类组织。
他们最引人注目的一次入侵发生在2024年8月,涉及丰田的美国业务,他们声称对窃取240GB的敏感企业数据负责。
KELA网络团队的分析师通过对这些组织的发帖模式和沟通风格进行法医分析,注意到它们之间存在显著的操作相似性。
调查显示,这两个组织采用了完全相同的标题格式规范,特别是在其论坛帖子和受害者公告中使用带方括号和空格的“[ Access ]”。
在KELA全面的威胁情报数据库中,这种独特的格式模式是这两个攻击者所特有的。
战术趋同与归因分析
技术分析通过对这些团体数字足迹的开源情报调查,揭示了更深层次的联系。研究人员发现他们在社交媒体上的存在有着相似的风格模式,尤其是在其Twitter个人资料中一致使用包括#hack在内的标签。
两个团伙都展现出了相似的操作安全措施,他们使用包括Tox、XMPP、Telegram和X在内的多种通信渠道进行受害者谈判和数据销售。
贝尔森集团的运营基础设施包括一个复杂的洋葱网站,用于受害者名单和联系信息的发布,该网站注册时使用的电子邮箱地址为ad@gmail.com(部分信息已编辑处理)。
他们的Telegram管理员账户(@BelsenAdmin,ID 6161097506)通过对网络安全认证团体、也门地区的阿拉伯语社区以及技术培训频道的订阅模式,泄露了更多情报。
该账户之前的用户名(@m_kyan0、@mmmkkk000000)为正在进行的调查提供了额外的归属标记。
ZeroSevenGroup的技术资料显示,其前身是RaidForums上用户名zerox296的“ZeroXGroup”,并在此基础上有所发展。
该组织在泄露数据库和信息窃取工具中重复使用密码的模式提供了关键的溯源线索,将其活动与也门“盾牌”黑客组织相关联的也门本土威胁行为者联系起来。
自2025年1月起,他们转向仅在Exploit Forum上开展活动,这表明在针对美杜莎勒索软件团伙的诈骗行为被曝光后,他们做出了战术调整。
虽然确定归属仍具有挑战性,但操作模式、地理起源和战术偏好的趋同强烈表明这些网络犯罪实体之间存在协调或共享资源的情况,这代表着不断演变的威胁格局,需要加强防御措施。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
