肚脑虫组织(APT-C-35)移动端攻击活动揭露

C&C

移动端和PC端分手应用的C&C中,有一个呈现吻合(drivethrough.top);其次移动真个一个C&C(46.101.204.168)曾经对应着PC真个另一个C&C(sessions4life.pw);着末两真个一部分C&C都应用谷歌算作跳板,虽然移动端和PC端呈现的谷歌ID不是同个

传统的APT进击主如果针对PC端进行,而跟着智妙手机和移动收集在世界范围内的遍及成长,越来越多黑客组织的进击目标也迅速伸展到移动端,以致呈现出和PC端结合的趋势近几年被国内外安然厂商陆续表露的Fancy Bear、Lazarus、OperationManul、摩诃草、黄金鼠等多个进击组织无疑印证了这点近期,360烽火实验室发明肚脑虫组织(APT-C-35)最新的进击已把移动端也加入到其进击目标中

肚脑虫组织(APT-C-35, 后文统称肚脑虫组织),又称Donot,是一个针对克什米尔地区相关国家确政府机构等领域进行收集特工活动,以偷取敏感信息为主的进击组织该组织于2017年3月由360追日团队首次曝光,随后稀有个国内外安然团队持续追踪并表露该组织的最新进击活动被曝光的的进击活动都是针对PC端进行,进击最早在2016年4月,至今生动,进击要领主要采纳鱼叉邮件进行进击

2018年8月,一款冒充成KNS Lite(克什米尔新闻办事)移动端RAT进入了我们的视线随后我们发明到一批同类的移动端RAT,它们最早呈现于2017年7月,在2018年进入生动期综合我们的查询造访数据和已知的公开情报,可以确认这是肚脑虫组织提议的一场针对克什米尔地区相关国家(巴基斯坦和印度)的移动端进击活动,该活动从2017年7月持续至今,采纳钓鱼进击,推想还有邮件或者短信的鱼叉进击

一、载荷送达

肚脑虫组织移动端进击活动载荷送达的要领今朝发明有钓鱼进击;结合移动端进击样本冒充的工具、获取到的对应滥觞名字及盗守信息有邮箱及手机号等,我们推想会应用邮件或者短信的鱼叉进击

钓鱼网站

在免费在线网站平台Weebly上发明到一个传播恶意载荷的网站(playsotreapplications.weebly.com 见图1.1),该网站页面内容包孕了一些动物相关信息和多个恶意载荷下载链接网站的特殊名称(playsotreapplications)、恶意载荷采纳的诱惑性名字链接(chat_lite、vpn等)和对应不上的简单网页内容,我们觉得这是由进击者构造的钓鱼网站别的左侧多个夺目的恶意载荷从第一次被发明至今已经传播了数周,扫除了正常网站被用来水坑进击的可能,这也是上面我们觉得该站是钓鱼网站的又一依据

图1.1钓鱼网站

疑邮件或者短信的鱼叉

该组织之前针对PC真个多次进击主要采纳鱼叉邮件的进击要领,而移动真个进击样本呈现时的图标和传播时的文件名都冒充成正常利用,再加长进击时偷取的系统账号(谷歌等)和通讯录联系人手机邮箱信息为鱼叉进击创造了便利,是以我们推想该行动可能会以鱼叉邮件或者短信进行送达

二、冒充要领

肚脑虫组织在移动端进击行动中应用以下两种冒充要领,用以提升进击的成功率和隐蔽性

运行后展现形式冒充

移动端进击样本按照运行后的展现形式分为两类:一类会自己实现所冒充利用工具的功能,运行后展示出正常利用的形式来暗藏后台正在发生的特工活动(见图2.1 左);另一类无正常利用功能,运行后提示引诱性诈骗消息,并暗藏图标删除快捷要领进行暗藏,实则在后台进行特工活动(见图2.1 右)

图2.1两种用来暗藏正在发生特工活动的要领举例

文件图标冒充

文件图标冒充主要有两类:一类是冒充成针对性的克什米尔新闻、印度锡克教相关利用图标;另一类是冒充成通用性的VPN、谷歌办事相关利用图标此外还有一款游戏“Cannons And Soldiers” 利用图标,预测被进击目标应该是该游戏的喜欢者涉及到的冒充图标如下(见图2.2)

图2.2冒充的利用软件图标

三、移动端进击样本分析

移动端进击样本属于RAT,具有相应云端指定进击指令(见图3.1)进行录音、上传联系人/通话记录/短信等恶意行径,除冒充的APP名字和运行后的冒充展现形式不一样,功能基真相同

图3.1RAT指令与功能对应关系

四、受进击地区散播环境

克什米尔地区位于南亚,在印巴分治时,因为其主权所属问题没有获得办理自此激发出双方一系列的纷争问题特殊的局势背景,导致该地区遭受多个APT组织频繁的进击在对这次进击活动揭破的同时,我们察看到另一个曾被曝光的Bahamut组织,也正在该地区推行进击

经由过程阐发我们发明肚脑虫组织这次进击事故的目标仍是克什米尔地区,影响的国家为巴基斯坦和印度(见图4.1)

图4.1受进击的地区国家散播环境(巴基斯坦和印度)

五、溯源关联

根据这次移动端进击的获守信息,结合公开情报,我们从下面几个维度,确认这次进击的幕后组织为曾提议多个针对PC端进击活动的肚脑虫组织(APT-C-35)

进击地区

都是针对克什米尔地区国家

命名偏好

移动端RAT样本均应用数字英文命名要领,而PC端呈现过的名为“Boothelp.exe”的RAT类也应用了相同偏好的命名要领(见图5.1)

[1] [2]下一页

图5.1Android与PC RAT比较

六、总结

肚脑虫组织是一个因为国家地缘问题孕育发生的特工情报活动组织,进击目标已从PC端成长到移动端虽被揭破过多次,但因为问题没办理,进击不停在持续,这也是APT的特点必要分外留意的是,APT进击跟着期间的成长,PC端不再是独占的目标,与人联系越慎密的每一种收集设备,都邑是下一个进击的新目标在当下,移动端安然问题日益凸显,移动端APT进击徐徐严重,移动真个安然意识和安然防护已是人们的一门必修课

附录A:IOC

MD5

4efdbdcb3c341f86c4ff40764cd6468f

89b04c7e0b896a30d09a138b6bc3e828

a1827a948b5d14fb79c87e8d9ec74082

7a2b1c70213ad493a053a1e252c00a54

fc385c0f00313ad3ba08576a28ca9b66

843e633b026c43b63b938effa4a36228

b7e6a740d8f1229142b5cebb1c22b8b1

c2da8cc0725558304dfd2a59386373f7

99ce8b2a17f7961a6b88ba0a7e037b5a

1b3693237173c8b7ee2942b69812eb47

7b00d9246335fd3fbb2cac2f2fe9354b

2a1de3eefb43479bfbc53f677902c993

74aa0abb618f9b898aa293cdbd499a4b

92d79d7a27966ea4668e347fe9a97c62

ca9bc074668bb04552610ee835a0e9cf

28d30f19e96200bcf5067d5fd3b69439

be4117d154339e7469d7cbabf7d36dd1

397ed4c4c372fe50588123d6885497c3

e5f774df501c631b0c14f3cf32e54dfb

47fc61cd1d939c99c000afe430451952

e8b68543c78b3dc27c7951e1dc8fae89

C&C

138.68.81.74

139.59..46.35

206.189.42.61

46.101.204.168

85.204.74.117

95.85.15.131

godspeed.geekgalaxy.com

jasper.drivethrough.top

附录B:参考链接

[1]https://ti.360.net/blog/articles/latest-activity-of-apt-c-35/

[2]https://www.reuters.com/Article/us-india-cyber-threat/exclusive-india-and-pakistan-hit-by-spy-malware-cybersecurity-firm-idUSKCN1B80Y2

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包