欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

肚脑虫组织(APT-C-35)移动端攻击活动揭露

来源:本站整理 作者:佚名 时间:2018-08-20 TAG: 我要投稿

传统的APT攻击主要是针对PC端进行,而随着智能手机和移动网络在世界范围内的普及发展,越来越多黑客组织的攻击目标也迅速蔓延到移动端,甚至出现出和PC端结合的趋势。近几年被国内外安全厂商陆续披露的Fancy Bear、Lazarus、OperationManul、摩诃草、黄金鼠等多个攻击组织无疑印证了这点。近期,360烽火实验室发现肚脑虫组织(APT-C-35)最新的攻击已把移动端也加入到其攻击目标中。
肚脑虫组织(APT-C-35, 后文统称肚脑虫组织),又称Donot,是一个针对克什米尔地区相关国家的政府机构等领域进行网络间谍活动,以窃取敏感信息为主的攻击组织。该组织于2017年3月由360追日团队首次曝光,随后有数个国内外安全团队持续追踪并披露该组织的最新攻击活动。被曝光的的攻击活动都是针对PC端进行,攻击最早在2016年4月,至今活跃,攻击方式主要采用鱼叉邮件进行攻击。
2018年8月,一款伪装成KNS Lite(克什米尔新闻服务)移动端RAT进入了我们的视线。随后我们发现到一批同类的移动端RAT,它们最早出现于2017年7月,在2018年进入活跃期。综合我们的调查数据和已知的公开情报,可以确认这是肚脑虫组织发起的一场针对克什米尔地区相关国家(巴基斯坦和印度)的移动端攻击活动,该活动从2017年7月持续至今,采用钓鱼攻击,推测还有邮件或者短信的鱼叉攻击。
一、载荷投递
肚脑虫组织移动端攻击活动载荷投递的方式目前发现有钓鱼攻击;结合移动端攻击样本伪装的对象、获取到的对应来源名字及窃取信息有邮箱及手机号等,我们推测会使用邮件或者短信的鱼叉攻击。
钓鱼网站
在免费在线网站平台Weebly上发现到一个传播恶意载荷的网站(playsotreapplications.weebly.com 见图1.1),该网站页面内容包含了一些动物相关信息和多个恶意载荷下载链接。网站的特殊名称(playsotreapplications)、恶意载荷采用的诱惑性名字链接(chat_lite、vpn等)和对应不上的简单网页内容,我们认为这是由攻击者构造的钓鱼网站。另外左侧多个醒目的恶意载荷从第一次被发现至今已经传播了数周,排除了正常网站被用来水坑攻击的可能,这也是上面我们认为该站是钓鱼网站的又一依据。

图1.1   钓鱼网站
疑邮件或者短信的鱼叉
该组织之前针对PC端的多次攻击主要采用鱼叉邮件的攻击方式,而移动端的攻击样本出现时的图标和传播时的文件名都伪装成正常应用,再加上攻击时窃取的系统账号(谷歌等)和通讯录联系人手机邮箱信息为鱼叉攻击创造了便利,因此我们推测该行动可能会以鱼叉邮件或者短信进行投递。
二、伪装方式
肚脑虫组织在移动端攻击行动中使用以下两种伪装方式,用以提升攻击的成功率和隐蔽性。
运行后展现形式伪装
移动端攻击样本按照运行后的展现形式分为两类:一类会自己实现所伪装应用对象的功能,运行后展示出正常应用的形式来隐藏后台正在发生的间谍活动(见图2.1 左);另一类无正常应用功能,运行后提示诱导性欺骗消息,并隐藏图标删除快捷方式进行隐藏,实则在后台进行间谍活动(见图2.1 右)。

图2.1   两种用来隐藏正在发生间谍活动的方式举例
文件图标伪装
文件图标伪装主要有两类:一类是伪装成针对性的克什米尔新闻、印度锡克教相关应用图标;另一类是伪装成通用性的VPN、谷歌服务相关应用图标。此外还有一款游戏“Cannons And Soldiers” 应用图标,猜测被攻击目标应该是该游戏的爱好者。涉及到的伪装图标如下(见图2.2)。

图2.2   伪装的应用软件图标
三、移动端攻击样本分析
移动端攻击样本属于RAT,具有响应云端指定攻击指令(见图3.1)进行录音、上传联系人/通话记录/短信等恶意行为,除伪装的APP名字和运行后的伪装展现形式不一样,功能基本相同。

图3.1   RAT指令与功能对应关系
四、受攻击地区分布情况
克什米尔地区位于南亚,在印巴分治时,由于其主权所属问题没有得到解决自此引发出双方一系列的纷争问题。特殊的局势背景,导致该地区遭受多个APT组织频繁的攻击。在对此次攻击活动揭露的同时,我们观察到另一个曾被曝光的Bahamut组织,也正在该地区实行攻击。
通过分析我们发现肚脑虫组织此次攻击事件的目标仍是克什米尔地区,影响的国家为巴基斯坦和印度(见图4.1)。

图4.1受攻击的地区国家分布情况(巴基斯坦和印度)
五、溯源关联
根据此次移动端攻击的获取信息,结合公开情报,我们从下面几个维度,确认此次攻击的幕后组织为曾发起多个针对PC端攻击活动的肚脑虫组织(APT-C-35)。
C&C
移动端和PC端分别使用的C&C中,有一个出现吻合(drivethrough.top);其次移动端的一个C&C(46.101.204.168)曾经对应着PC端的另一个C&C(sessions4life.pw);最后两端的一部分C&C都使用谷歌当作跳板,虽然移动端和PC端出现的谷歌ID不是同个。
攻击地区
都是针对克什米尔地区国家。
命名偏好
移动端RAT样本均使用数字英文命名方式,而PC端出现过的名为“Boothelp.exe”的RAT类也使用了相同偏好的命名方式(见图5.1)。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载