先斩后奏:一个靠入侵社交账号打商业广告的黑客组织 – 作者:奇安信威胁情报中心

Hi, we are OurMine.

这一句话一旦出现在一个大V推特账号推文时,就意味着他的账号被黑了。

 

广告时间

2020年2月15日,巴萨官推账号遭遇了黑客攻击,黑客利用巴萨官推,发布了诸如内马尔回归等的一些不实消息。

Clipboard Image.png紧接着连发了多天推文,自曝身份为OurMine,并称这已经是第二次入侵巴萨推特,此次的账号推特安全性比之前的要高,但是还不是最好的,为了提升你的账号安全级别,请联系他们。

此外,从OurMine可以看私信意味着确实成功登陆,而不是借助第三方平台发推文。

Clipboard Image.png而第一次入侵巴萨官推,他们发了一个欢迎迪马利亚加盟巴塞罗那。而在巴萨官网,并没有相关消息。

Clipboard Image.png同样也是随后发了一条推文澄清,同样是留下了联系方式。

Clipboard Image.png这好比小偷去偷东西,到了他们家啥也没偷,就留了一张纸条说,为了防止你家再次被偷,请联系我我帮你提升房屋安全等级。

 

2月15日同日,日本的Goal JP和DAZN也遭受攻击。

Clipboard Image.png说到日本,今年最大的事莫过于日本东京奥运会,也毫无例外的在2月15日被入侵。

Clipboard Image.png

Clipboard Image.png

而这些未经授权的推文实际上是通过第三方应用程序Audiense Connect发布的。

 

Audiense Connect是大品牌使用的第三方Twitter营销平台,用于衡量他们在社交网络上与受众互动的程度。在本周末发布的一条推文中,Audiense确认其存在安全漏洞。

Clipboard Image.png继上一次该组织入侵Facebook一系列社交媒体账号也是采取第三方平台漏洞进入后才相隔8日,也许OurMine组织目前正在挨个针对第三方社交账号管理平台进行渗透测试从而获取权限或漏洞。

Clipboard Image.png推特粉丝关注量

组织分析

在经过奇安信威胁情报中心红雨滴团队分析域名后,我们发现,该黑客组织的活动轨迹与域名的解析记录几乎一致。

Clipboard Image.png最早的攻击开始于2016年6月5日,马克·扎克伯格的社群网站服务如Twitter、Instagram和Pinterest上账号相继被盗用,据信是由名为OurMine的团队利用LinkedIn密码及账户泄露事件,虽然LinkedIn公司随后向用户发送通知,提醒用户重新设置密码,但由于许多用户在多个网站的账号密码相同,所以其他平台账号存在被盗的可能。

Clipboard Image.png2017年8月16日,“OurMine”黑掉了大热剧集《权力的游戏》的Twitter帐号,并且表示:“Hi,这里是OurMine。我们是在测试你们的安全性,HBO团队请尽快与我们联系升级你们的帐号安全性。”

2017年8月23日,西甲豪门巴萨一度在官方推特上宣布阿根廷飞翼迪马利亚加盟。但实际上这是一次乌龙,是巴萨的社交媒体账号被盗号后发布的假新闻。在巴萨“宣布签下迪马利亚”2分钟之后,巴萨的官方推特又发布了这样一则消息:你好巴萨,我们是OurMine(黑客组织),请联系我们。 

2017年8月26日,皇马的官方推特也被黑客侵入,在官方推特上发布“欢迎梅西加盟”。随后,黑客组织OurMine宣布是他们所为。

 

2020年1月份,OurMine破坏了NFL和15个NFL职业橄榄球大联盟球队的Twitter,Facebook和Instagram帐户。

 

2020年2月,OurMine入侵了Facebook Messenger Twitter的4个帐户,这里由于Facebook使用了第三方平台Khoros进行管理,因此通过供应链发了推文。与Audiense Connect平台类似。

Clipboard Image.png也因此,OurMine曾经被人称作只会入侵社交媒体账号的小丑,但后来Wikileak挑衅该组织无法入侵他们网站后,OurMine组织通过某种方式让Wikileak的域名提供商更改了并指向了黑页网站。

Clipboard Image.png黑客在主页留言称:”维基解密,还记得当初你是如何挑衅要我们入侵的吗?”并在下方留下OurMine的网站链接和电子邮箱地址。

Clipboard Image.png

该组织官方时刻滚动着几句话。

 

社交账号安全

SOCIAL ACCOUNT SECURITY.

 

简单快捷,随时退款

SWIFT AND PAINLESS

REFUNDS ANYTIME.

Clipboard Image.png

而他们的服务,便是给他30美元,然后扫描(尝试入侵)你的社交账号,邮箱,iPhone和ICloud,从而告诉你如何提升账号的安全等级,类似于渗透测试服务。

BTC地址1NHAPfXPohbCU7EK3MiAwRf5vULeji5fpK

Clipboard Image.png

捐赠地址,帮助他人获得更好的安全:

Clipboard Image.png

此外,网站还挂有最新消息,炫耀其他人是怎么评价他们的”风光”战绩:

Clipboard Image.png

组织成员

2016年10月4日,女演员兼模特儿Uldouz Wallace,在Instagram和YouTube上拥有大量粉丝。

Clipboard Image.png

同一天,她在推特上说,OurMine入侵了她的Snapchat和Twitter帐户。

 

这一刻,粉丝们都生气了,连着生气的还有OurMine的竞争对手黑客团伙,一张显示了8月12日Snapchat电子邮件通知屏幕截图被公布到网上,邮件是一则重置密码的通知被发送至[email protected],其中包含了针对“snapuldouz帐户的手机号码重置。该帐户属于女演员兼模特儿Uldouz Wallace。

 Clipboard Image.png

根据屏幕快照中的电子邮件名,其对应一个用户名为0ahmadmakki0的Instagram帐户,该帐户似乎属于沙特阿·拉伯的一名高中生,通过社交媒体可以关联到名为Ahmad Makki的少年。

2013年0ahmadmakki0的Instagram上的图片显示,该页面上的文字过去常显示为“ Our-Mine.net”。相应的Facebook页面显示,Makki痴迷于足球

 

据称与OurMine关联的Skype帐户使用的IP地址是在吉达,因此判断Makki位于吉达。

Clipboard Image.png

因此,该团伙被认为来自沙特,但是OurMine声称那是他的粉丝,但是并没有给出解释说明。

 

总结

OurMine组织通过入侵其他著名的社交媒体账号的种种战绩,搭配他的商业手段,吸引了一批需要对自己社交媒体账号进行风险测评的客户。

 

从该组织的攻击时间来看,近期的频繁攻击,大概率是为了增加曝光率,从而打商业广告,拓展相关业务,而这类型的黑客组织不会讲什么仁义道德,未来是否会同步发展中国业务,进军微博,知乎,豆瓣,甚至微信公众号,从而进一步的敛财,这都具备一定的可能性。

 

务必加强对个人社交媒体账号的安全等级提升,定期修改账号密码,并且不要随意授权账号给第三方平台,养成良好的上网习惯。

 

该组织的相关攻击信息已经被自动录入奇安信威胁情报中心威胁情报库。

https://ti.qianxin.com/v2/search?type=domain&value=ourmine.org

Clipboard Image.png

来源:freebuf.com 2020-02-20 19:27:56 by: 奇安信威胁情报中心

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论