欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

指向巴基斯坦的FrozenCell跨平台的监控行动

来源:本站整理 作者:佚名 时间:2017-10-12 TAG: 我要投稿

Lookout网安研究职员近期发明一款新型挪动监控软件家属,FrozenCell。这一威逼极能够针对巴勒斯坦各政府机构、网安部分、巴勒斯坦门生和与法塔赫政党无关的职员。

图1  FrozenCell常常伪装成著名的交际媒体和谈天应用,和一款在2016年通俗中学测验中巴勒斯坦或约旦门生应用的应用
本年3月,360追日团队发明了双尾蝎/APT-C-23APT入侵攻击,这个威逼应用受控的挪动装备和桌面来监控受害者。本文中提到的FrozenCell恰是双尾蝎多平台入侵攻击的挪动组件。而该APT入侵攻击的桌面组件,在此之前已被Palo Alto Network发明,并命名为KasperAgent和Micropsia。在查询拜访这一入侵攻击的进程当中,咱们对来自24个受控Android装备的561MB泄漏数据停止了阐发。在阐发的进程当中,咱们发明,天天都会有新的数据呈现,这注解,该运动仍在活跃期,咱们也会对该入侵攻击连续存眷。
这个威逼,也是入侵攻击者把挪动装备作为重要入侵攻击载体参加到监督运动的别的一个证据。政府机构和企业应当把这一威逼看作特工行为的例子,由于现在在挪动装备在事情场合随处可见。入侵攻击者灵敏地意想到他们可以或许从这些装备中获得信息,并应用多阶段(垂纶+可执行文件),多平台(安卓+桌面)入侵攻击来实现他们的特工运动。
它都做了甚么?
FrozenCell常常伪装成Facebook、hatsApp、Messenger、LINE和LoveChat等谈天应用的更新,诱应用户下载。别的,咱们还在针对特定中东人的应用程序中发明了它的踪影。比方文章开端所提到的,FrozenCell背后的入侵攻击者应用了一款名为Tawjihi 2016的恶搞应用,这款应用是约旦或巴勒斯坦门生在通俗中学测验中应用的应用程序。
一旦装置在装备上,FrozenCell可以或许停止以下操纵:
·  通话灌音
·  获得通用德律风元数据(比方,基站定位,挪动国度码和挪动收集码)
·  定位装备
·  提取短信
·  获得受害者账户信息
·  泄漏装备中的图片
·  下载中并装置其余应用程序
·  搜刮并泄漏pdf,doc,docx,ppt,pptx,xls及xlsx等范例文件
·  获得通讯录
下图表现了从一个设置装备摆设差错的C&C办事器(跨越37台办事器)上获得的数据范例。 固然,这些只是此威逼获得的数据的一小部分。

图2  泄漏数据范例
从这些受控装备中提取的内容有一些值得注意的文件,包含护照照片,通话灌音,其余图片,和存有484份小我数据的PDF文件。PDF中列出了这些人的出生日期、性别、护照号码和姓名。
潜伏目的
FrozenCell背后的入侵攻击者应用了一个在线办事,应用附近的基站定位挪动装备,追踪目的。数据注解受沾染装备的显著集中于加沙到巴勒斯坦的地区。

图3  FrozenCell的晚期样本应用在线办事来存储受沾染装备的地理位置信息。颠末遥感技术阐发,可以或许看到,受沾染的装备重要位于巴基斯坦的加沙地带。今朝尚未方法肯定这些是测试装备照样受害者的装备。
咱们也能够或许将FrozenCell的Android根基收集工具与很多桌面样本停止联系关系,这些样本是更大的多平台入侵攻击的一部分。从各种迹象看来,入侵攻击者经由过程仿冒巴基斯坦网安局,内政部民防总局,巴勒斯坦民族束缚战线第七次法庭集会(2016年举行)相干停止收集垂纶运动,流传歹意可执行文件。而这些文件的题目和内容又注解,这些运动的目的群体是与政府机构和法塔赫政党相干的事情职员。
一些与这些歹意样本无关的歹意文件题目:
·  Council_of_ministres_decision
·  Minutes of the Geneva Meeting on Troops (محضر اجتماع جنيف الخاص بقوات ا_من)
·  Summary of today's meetings.doc.exe (ملخص إجتماعات اليوم)
·  The most important points of meeting the memory of the late President Abu Omar may Allah have mercy on him - Paper No. 1 (أهم نقاط إجتماع ذكرى الرئيس الراحل أبوعمار رحمه الله - ورقة رقم)
·  Fadi Alsalamin scandal with an Israeli officer - exclusive - watched before the deletion - Fadi Elsalameen (فضيحة فادي السلامين مع ضابط إسرائيلي- حصري-شاهد وقبل الحذف-Fadi Elsalameen)
·  The details of the assassination of President Arafat_06-12-2016_docx

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载