2017年，駭客組織Shadow Brokers對外宣稱他們已經成功入侵了美國國家安全域性（NSA）下屬的駭客組織Equation Group，下載了後者大量的攻擊工具並在網上發起拍賣。而現在又有駭客釋出了類似的駭客工具，不過這次來自於伊朗精英網路間諜部隊之一，在業內被稱之為APT34，Oilrig或HelixKitten。

儘管本次釋出的駭客工具並沒有2017年NSA洩露的駭客工具那麼複雜，但它們依然是非常危險的。這些駭客工具自今年3月中旬開始在網路上釋出，以Lab Dookhtegan這個假名在Telegram頻道上進行出售。

除了駭客工具之外，Dookhtegan還發布了一些似乎是來自APT34組織的駭客受害者的資料，這些資料主要是透過網路釣魚頁面收集的使用者名稱和密碼組合。

一些網路安全專家已經確認了這些工具的真實性。 Alphabet的網路安全部門Chronicle今天早些時候向ZDNet證實了這一點。在今天釋出的Telegram頻道中，駭客共洩露了6個駭客工具的原始碼，此外還有部分來自活躍後端面板的內容以及收集的受害者資料。

這6個駭客工具分別為：

- Glimpse（基於PowerShell的的新版木馬，Palo Alto Networks命名為BondUpdater）

- PoisonFrog（舊版BondUpdater）

- HyperShell（稱之為TwoFace的Palo Alto Networks網路外殼）

- HighShell（另一個Web shell）

- Fox Panel（釣魚工具包）

- Webmask（DNS隧道，DNSpionage背後的主要工具）

根據Chronicle報道，Dookhtegan總共洩露了66名受害者的資料，這些受害者主要來自中東國家，還有非洲，東亞和歐洲。資料來自兩個政府機構，也來自私營公司。 Telegram頻道上指定的兩家最大公司是阿提哈德航空公司和阿聯酋國家石油公司。

週三，ZDNet報道稱，網名為Lab Dookhtegan的駭客洩露了一套屬於伊朗間諜組織的駭客工具，這些工具在Telegram上通常被稱為APT34，Oilrig或HelixKitten。 洩密事件始於3月中旬，包括敏感資訊，主要包括使用者名稱和密碼。

當Twitter使用者將一些與Telegram洩露的相同檔案混淆時，ZDNet意識到了這種駭客行為。雖然這位Twitter使用者聲稱已經參與了該組織的DNSpionage活動，但ZDNet認為，他也可能是一個試圖隱藏其真實身份的外國情報機構的成員。 ZDNet的假設是Twitter使用者可能是Telegram Lab Dookhtegan角色。

駭客洩露了六種駭客工具的原始碼：Glimpse，PoisonFrog，HyperShell，HighShell，Fox Panel和Webmask。包括Chronicle，Alphabet的網路安全部門在內的許多網路安全專家都證實了這些工具的真實性。

除了這些工具外，駭客還洩漏了幾個活動後端面板中的內容，其中收集了受害者資料。 Alphabet的網路安全部門Chronicle向ZDNet證實，駭客已經洩露了66名受害者的資料，主要來自中東國家。這些資料來自政府機構和私營公司。駭客還洩露了APT34過去運營的資料，共享了該組託管Web shell和其他運營資料的IP地址和域。

除了洩露駭客工具的資料和原始碼外，駭客還公佈了參與APT34運營的伊朗情報部官員的公開個人資訊，包括電話號碼，影象和姓名。

駭客在Telegram頻道上承認他已經銷燬了APT34駭客工具的控制面板，並清理了他們的伺服器。所以，現在伊朗的間諜組織別無選擇，只能重新開始。根據洩露的檔案，似乎Dookhtegan對伊朗情報部也有一些怨恨，他稱之為“殘忍”，“無情”和“犯罪”。

現在，一些網路安全公司正在分析洩露的資料。 在一封發給ZDNet的電子郵件中，Chronicle應用智慧部門負責人Brandon Levene表示，“為了保持運營狀態，該團隊可能會改變他們的工具集。 可能存在一些源自洩漏工具的模仿活動，但它不太可能被廣泛使用。“

在事件讓人想起了陰影經紀人洩漏暴露NSA的駭客工具，有人已出版屬於伊朗精銳網路間諜活動單位，稱為一個類似的駭客工具APT34，石油挖掘鑽塔，或HelixKitten。

駭客工具遠沒有2017年洩漏的NSA工具那麼複雜，但它們仍然是危險的。

受害者資料也線上傾銷

自3月中旬以來，這些工具已被個人使用Lab Dookhtegan假名在電報頻道上洩露。

除了駭客工具之外，Dookhtegan還發布了一些似乎是來自APT34的一些駭客受害者的資料，這些資料主要包括似乎是透過網路釣魚頁面收集的使用者名稱和密碼組合。

在本報記者於3月中旬收到小費後，ZDNet此前已經知道其中一些工具和受害者資料。在Twitter DM中，Twitter使用者共享了今天在Telegram上發現的一些相同檔案，我們相信這個Twitter使用者是Telegram Lab Dookhtegan角色。

在我們的推特談話中，該洩密者聲稱已經參與了該組織的DNSpionage活動，但這應該是一絲不苟，因為洩密者很可能是外國情報機構的成員，試圖隱藏他們的真實身份，同時給予更加相信伊朗的駭客工具和操作的真實性。

此外，ZDNet還了解到，同樣的推特角色也曾與其他數十名記者和資訊保安研究人員聯絡，並試圖宣傳這一漏洞。同樣，同一個角色也在公共駭客攻擊論壇上釋出了一些駭客工具的連結。在這些論壇上，他聲稱正在銷售被駭客攻擊的檔案，但他從未提及有關價格的任何資訊。

真實性證實

一些網路安全專家已經確認了這些工具的真實性。Alphabet的網路安全部門Chronicle今天早些時候向ZDNet證實了這一點。

在今天發現的Telegram頻道中，駭客洩露了六個駭客工具的原始碼，以及來自幾個活動後端面板的內容，其中收集了受害者資料。

駭客工具：-掠影（基於PowerShell的木馬的較新版本的帕洛阿爾託網路名稱BondUpdater）- PoisonFrog（舊版本BondUpdater的）- HyperShell（網路外殼，帕洛阿爾託網路電話TwoFace）- HighShell（另一個Web外殼）-FOCUS面板（網路釣魚工具包）- Webmask（DNS隧道，DNSpionage背後的主要工具）

除了上述工具的原始碼之外，Dookhtegan還洩露了從APT34後端命令和控制（C＆C）伺服器中收集的受害者處獲取的Telegram通道資料。