视频文件中的5个名为“AOL.avi”、“Aol Contact.avi”、“Gmail.avi”、“Yahoo.avi”和“Hotmail.avi”,运营者使用含有每个平台凭证的Notepad文件,一个视频一个视频的复制粘贴到相关的网站上。运营者还证明了如何从这些平台上窃取不同的数据集,包括联系人、照片和相应的云存储。
从教学视频来看,可以发现其中一些与攻击者相关的个人账号,比如伊朗国家代码开头的手机号。IBM X-Force IRIS分析认为Yahoo.avi 视频中的个人信息并不是一个真实存在的人,手机号为+98开头的。
其中3个视频表明APT 35成功入侵了美国海军人员和希腊海军官员的多个账号。尤其是,APT 35好像有多个相关人员个人邮箱和社交媒体账户的凭证。
视频表明APT 35运营者成功访问受害者账户。
此外,运营者还修改了每个账号的账号安全设置来增加一个Zimbra账号,Zimbra是一个合法的邮件聚合平台。通过该平台,运营者可以同时监控和管理不同的被黑的邮件账号。
研究人员发现的视频文件是一个名为Bandicam的桌面录屏软件录制的视频文件,时长在2分钟到2小时之间。文件的时间戳表明视频是在上传到APT 35服务器的前一天录制的。Bandicam 录制的视频中的APT 35运营者桌面如下所示:
数据中包括接近5小时的视频会议信息,这些视频主要是用于培训黑客。从视频来看,其中部分受害者包括美国和希腊海军的个人账号、以及针对美国官员的钓鱼攻击活动。
