近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

  • A+
所属分类:安全新闻

概述

双尾蝎(APT-C-23)是一个长期针对中东地区的高级威胁组织,其最早于2017年被披露,至少自2016年5月起,持续针对巴勒斯坦教育机构、军事机构等重要领域开展了有组织,有计划,有针对性的攻击,该组织拥有针对Windows和Android双平台攻击能力。

近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了该组织多起攻击样本,此次捕获的样本涉及Windows和Android平台,Windows平台样本主要通过伪装成简历文档等诱饵的可执行文件进行初始攻击,此类样本运行后,将会释放展示正常的诱饵以迷惑受害者,同时后门将继续在后台运行以窃取受害者计算机敏感信息。

Android平台样本继续保持了双尾蝎组织一贯的风格,通过伪装为聊天软件诱导受害者下载安装使用,为了使样本更具真实性,攻击者还特意制作了官网进行恶意APP分发,同时,据国外安全厂商报道,双尾蝎组织还制作了安卓应用市场以分发其恶意软件。

奇安信威胁情报中心在发现此次攻击活动的第一时间便向安全社区进行了预警。

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

 

样本分析

Windows平台样本分析

此次捕获的Windows平台样本采用伪装成简历文档的可执行文件进行攻击,相关信息如下:

文件名

cv AYA ALI  888_8630973_43897309634.exe

MD5

c12b3336f5efc8e83fcace6f81b27642

编译时间

2020:10:11 07:45:13+00:00

C2

ruthgreenrtg.live

样本运行后,将从资源获取诱饵文档释放展示,诱饵文档伪装成IT工程师求职简历,并附上了中东美女照片,极具诱惑性。

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

样本使用Delphi7编写,并且带有一个隐藏的窗体:

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

窗体中包含三个按钮以及四个定时器组件,该样本把所有恶意行为放在按钮和定时器的响应代码中。

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

样本执行后,只有Timer1Timer4定时器处于活跃状态,其余定时器都被禁止执行,其中Timer1会引导其他控件执行任务,Time1执行后首先会从资源中获取诱饵文档数据保存到到:%tmp%cv AYA ALI 888.doc,再调用word打开cv AYA ALI888.docx 

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

资源中保存的诱饵文档数据如下:

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

通过word打开释放的诱饵文档,迷惑受害者。

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

之后尝试获取计算机名字,用户名,系统版本信息。

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

判断系统版本并生成文件GUID.bin标识被感染的计算机。

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

根据不同的操作系统,将GUID.bin保存相应的文件目录,系统对应目录如下所示。

系统版本

对应保存目录

Windows XP

C:Documents and  Settings%Username%Application Data

其他Windows版本

%ProgramData%

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

通过WMI枚举系统杀毒软件,查询MAC地址。

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

判断是否存在硬编码列表内的杀毒软件。

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

硬编码杀软列表如下:

360

360安全软件

Kasper

卡巴斯基

eScan

eScan安全软件

Corporate

诺顿杀毒

F-Secure

F-Secure安全软件

Bitdefender

比特梵德

Windows Defender

微软Windows Defender安全软件

Timer4定时器会在启动目录释放一个指向自身的lnk文件用于持久化。

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

样本会尝试将lnk路径写入注册表自启动项,如果当前系统是Windows XP或者样本以管理员权限运行,该操作将会成功。

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

将获取到的系统版本,计算机名,用户名,MAC地址,安全软件名信息经过base64编码之后通过HTTP协议发送给服务端上线。上线接口:http[:]//ruthgreenrtg.live/xqgjdxa/yhhzireha/hknbuahwg

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

Base64编码后的计算机信息如下:

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

在分析过程中,通信数据如下图所示:

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

样本会通过轮询的方式不断的从服务器(http[:]//ruthgreenrtg.live/xqgjdxa/yhhzireha/zbkvngmnc)获取指令执行。

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

该样本具有截屏、下载执行,文件上传、远程shell功能,相关指令功能如下:

Token

功能

AAAnnnnccccwwwAAA_1

远程shell

AAAnnnnccccwwwAAA_2

屏幕截取

AAAnnnnccccwwwAAA_3

下载执行

远程shell:通过管道的方式执行shell命令。

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

命令执行结束后,将会把执行结果回传到http[:]//ruthgreenrtg.live/xqgjdxa/yhhzireha/tigkjqay

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

屏幕截图功能:远程服务下发该功能指令数据包如图所示:

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

收到命令后,该样本将在在%TMP%目录生成jpeg格式截图文件。

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

生成的截图文件如下。

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

之后将生成的截图上传到http[:]//ruthgreenrtg.live/xqgjdxa/yhhzireha/ibcdgpuw

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

下载执行:样本从命令请求的返回包中获取文件URL链接,然后将文件下载到本地%TMP%目录,下载的文件是经过base64编码后的txt文本文件,之后样本会将文件base64解码保存为EXE文件并执行。

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

执行解码保存的可执行文件。

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

遗憾的是,在实际分析过程中,我们并没有获取到相关下载文件。


Android平台样本分析

双尾蝎组织在此次Android平台的攻击活动中使用的手法与其惯用手法一致,制作了一个MygramIM应用以及另外一个交友聊天软件应用介绍网站,提供相关应用简介以及应用下载,伪造的网站界面如下:

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

此类界面分发的APP是双尾蝎组织常用的Android木马,相关信息如下:

应用名称

MD5

图标

包名

MyGramIM.signed.apk

63a0c10dfd3e89683a476fa7e319e017

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

com.ions.app

WhispersTalk.apk

c76402446b83840dd2d3635522874f8c

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

Com.whispers.chat

当应用安装启动后将显示相关应用界面,而恶意功能则开始在后台执行。运行界面如图所示:

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

此类恶意应用功能与红雨滴团队2019年发布的《双尾蝎(APT-C-23)团伙利用带有政治主题的Android恶意软件针对巴勒斯坦的攻击分析》一文中的Android恶意软件功能基本一致,包括获取受害者手机短信,联系人,文件,录音等功能。并且,也都是通过通过Google的FCM(FirebaseCloud Messaging)服务和短信下发指令执行恶意功能。此次短信指令采取了两次base64编码处理。

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

短信控制指令以及对应功能如下表所示:

指令

功能

指令

功能

#.=

开启上传录音

#,,

停止录音

52101

启动应用程序

52102

关闭应用程序

52103

Enable Mobile Data

52104

Disable Mobile Data

52105

卸载应用程序

52106

删除录音文件

52107

开启WiFi

52108

重启录音功能

52109

取消更新

52110

获取用户手机已安装程序信息

52111

禁用第一次更新

52112

启用第一次更新

52113

获取所有短信内容

52114

获取手机通讯录

52115

启用更新通知

52116

禁用更新通知

52117

启用新的URL

52118

上传手机文件

52119

获取控制指令

52120

获取录制的内容

52121

未启用功能

52122

获取短信通信记录

通过Google的FCM(Firebase Cloud Messaging)服务下发控制指令以及对应功能如下表所示:

指令

功能

指令

功能

Eduardo

检测更新

JadisWalsh

申请权限  统计短信、通讯录

EzekielMonroe

检测录音文件是否存在

LizzieHenry

开始录音并上传录音

CarlRhee/RositaPorter

开启WiFi

BethAaron

对用户手机呼叫转移

HershelJones

无实际功能

AndreaGrimes

获取用户手机短信、获取用户通讯录

Stookey

上传手机文件

SimonBlake

停止录音并上传文件

OliviaKal/FrancineGary

停止录音

TanyaSubramanian

仿冒Facebook等应用更新

update

仿冒Facebook等应用更新

Michonne

卸载程序

TobinSpencer

监控电量变化

LoriHarrison

上传手机固件信息

MaggieChambler

获取连接状态

SashaGreene

发送申请状态

Barbara

电话呼叫转移

JessieMonroe

电话呼叫转移

LydiaAnderson

手机回到主界面、可隐藏APP图标、设置隐藏时间等

DeannaAnderson

上传录音

PatriciaKent

上传手机各种文件

DianneJared

计算空间

AmyLuke

android/main/recordHis目录下文件上传

SophiaAxel

卸载程序

CyndieSamuels

删除文件

LauraPeletier

设置响铃模式


溯源关联

奇安信红雨滴团队安全研究人员结合奇安信威胁情报中心ALPHA平台等内部数据,对此次攻击活动中使用的恶意代码以及攻击手段关联分析发现,此次攻击活动疑似出自APT组织双尾蝎之手。

从代码上,此次攻击活动Android端恶意应用与双尾蝎组织历史使用恶意代码基本一致,均采用了FCM与短信两种指令通信方式,且控制指令也完全一致。

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

同时奇安信威胁情报中心ALPHA平台(ti.qianxin.com)对此次攻击活动相关IOC已有APT-C-23标签。

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析


总结

中东地区沟通了欧亚非,地理位置十分重要,而由于石油资源、宗教信仰、地缘政治、历史原因等问题又常年战乱不断。随着手机的普及与移动互联网的发展,移动平台已经成为了APT攻击的新战场。APT-C-23常年对巴勒斯坦多个重要领域进行攻击,并持续更新其攻击武器,红雨滴团队将时刻关注APT-C-23 Windows 与 Android最新变种的出现。

同时基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对此类攻击的精确检测。

近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析


IOCs

471313cb47c6165ec74088fafb9a5545

533b1aea016aacf4afacfe9a8510b168

c12b3336f5efc8e83fcace6f81b27642

006b96fd401a462f084664bbb58344f9

63a0c10dfd3e89683a476fa7e319e017

c76402446b83840dd2d3635522874f8c

http[:]//ruthgreenrtg.live/xqgjdxa/yhhzireha/hknbuahwg

http[:]//ruthgreenrtg.live/xqgjdxa/yhhzireha/zbkvngmnc

http[:]//ruthgreenrtg.live/xqgjdxa/yhhzireha/tigkjqay

http[:]//ruthgreenrtg.live/xqgjdxa/yhhzireha/ibcdgpuw

http[:]//ruthgreenrtg.live/xqgjdxa/yhhzireha/tcpuvvfi

http[:]//escanor.live/rip/ace/king

http[:]//escanor.live/rip/ace/ban

http[:]//escanor.live/rip/ace/fox

https[:]//whispers-talk[.]site/app/whispers/download

https[:]//amanda-hart[.]website

https[:]//darrell-ferris.site/download/YLFIHmx

https[:]//brian-garcia.work


参考链接

https://ti.qianxin.com/blog/articles/apt-c-23-analysis-of-attacks-on-palestinians-by-gangs-using-android-malware-with-political-themes/


本文始发于微信公众号(奇安信威胁情报中心):近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: