英國安全研究人員Paul Amar打造出一款工具,能夠利用推特(Twitter)私信(DMs)操控僵尸網絡。
這款工具名為Twittor。該工具僅僅是一套簡單的Python腳本,其能夠利用Twitter API以及相關服務選項引導受害者向其他用戶發出消息。這款工具可以使得僵尸網絡運營者對自己的基礎設施加以管理,且不必將行為暴露在其Twitter頁面當中。
軟件工作原理
Twittor允許黑客們創建Twitter賬戶,設置Twitter應用并獲取API證書,并將這一切納入到一套惡意Python腳本當中。該腳本則可以在部署完成之后操縱僵尸網絡向主Twitter賬戶發出請求,或者向僵尸網絡中的肉雞設備發送請求。這樣黑客就可以獲取成千上萬的用戶資料信息。
Twitter方面于今年8月解除了私信長度不得超過140個字符的限制,因此惡意人士能夠在無需向同一肉雞目標發送多條私信的前提下傳輸更為復雜的控制程序。
據統計Twitter為每個賬號設定了每天1000條私信的數量上限,因此犯罪分子只能通過少數由Twittor支持的主賬戶對成千上萬肉雞客戶端進行控制。
該種情況不是第一次
但 這已經不是我們第一次聽聞Twitter被用于管理僵尸網絡的消息了。今年7月,曾有媒體報道過APT29網絡攻擊事件,該組織通過HAMMERTOSS惡意軟件利用Twitter賬戶控制整套僵尸網絡體系的運作。
有安全人員表示:
“惡意攻擊者可以使用的私人賬號進行惡意攻擊,網上已經出現了該惡意軟件工具包。”
而作為相當少見的特殊情況,黑客們甚至使用了公開推文進行惡意活動。如果Twittor當時就已經出現,那么該組織的犯罪行為將很難被檢測出來,因為他們不需要以公開方式發送相關控制程序。
該工具僅供學習和研究使用(Twittor-點我)
APT29及Hammertoss相關資料
有網絡安全專家分析稱該組織為一個俄羅斯或與俄羅斯有關的黑客組織,原因是它僅在莫斯科時間的正常工作日活躍,而且它在俄羅斯節假日期間并不活躍。APT 29的主要專注于攻陷政府組織機構,并收集與俄羅斯相關的地理政治信息,由此專家認為APT 29是一個受政府支持的黑客組織。
APT 29過去曾使用的一款惡意軟件名稱為Hammertoss,Hammertoss執行一種每天可生成新推文的算法,通過這種方式命令和控制服務器就能夠通過使用由APT 29管理的具體推特賬戶與Hammertoss通信。之后Hammertoss可以通過推特、GitHub以及云存儲服務傳達命令并從被攻陷網絡中提取數據。
京公網安備 11010502049343號