近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

概述

双尾蝎（APT-C-23）是一个长期针对中东地区的高级威胁组织，其最早于2017年被披露，至少自2016年5月起，持续针对巴勒斯坦教育机构、军事机构等重要领域开展了有组织，有计划，有针对性的攻击，该组织拥有针对Windows和Android双平台攻击能力。

近日，奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了该组织多起攻击样本，此次捕获的样本涉及Windows和Android平台，Windows平台样本主要通过伪装成简历文档等诱饵的可执行文件进行初始攻击，此类样本运行后，将会释放展示正常的诱饵以迷惑受害者，同时后门将继续在后台运行以窃取受害者计算机敏感信息。

Android平台样本继续保持了双尾蝎组织一贯的风格，通过伪装为聊天软件诱导受害者下载安装使用，为了使样本更具真实性，攻击者还特意制作了官网进行恶意APP分发，同时，据国外安全厂商报道，双尾蝎组织还制作了安卓应用市场以分发其恶意软件。

奇安信威胁情报中心在发现此次攻击活动的第一时间便向安全社区进行了预警。

 

样本分析

Windows平台样本分析

此次捕获的Windows平台样本采用伪装成简历文档的可执行文件进行攻击，相关信息如下：

文件名	cv AYA ALI  888_8630973_43897309634.exe
MD5	c12b3336f5efc8e83fcace6f81b27642
编译时间	2020:10:11 07:45:13+00:00
C2	ruthgreenrtg.live

样本运行后，将从资源获取诱饵文档释放展示，诱饵文档伪装成IT工程师求职简历，并附上了中东美女照片，极具诱惑性。

样本使用Delphi7编写，并且带有一个隐藏的窗体：

窗体中包含三个按钮以及四个定时器组件，该样本把所有恶意行为放在按钮和定时器的响应代码中。

样本执行后，只有Timer1和Timer4定时器处于活跃状态，其余定时器都被禁止执行，其中Timer1会引导其他控件执行任务，Time1执行后首先会从资源中获取诱饵文档数据保存到到：%tmp%cv AYA ALI 888.doc，再调用word打开cv AYA ALI888.docx。 

资源中保存的诱饵文档数据如下：

通过word打开释放的诱饵文档，迷惑受害者。

之后尝试获取计算机名字，用户名，系统版本信息。

判断系统版本并生成文件GUID.bin标识被感染的计算机。

根据不同的操作系统，将GUID.bin保存相应的文件目录，系统对应目录如下所示。

系统版本	对应保存目录
Windows XP	C:Documents and  Settings%Username%Application Data
其他Windows版本	%ProgramData%

通过WMI枚举系统杀毒软件，查询MAC地址。

判断是否存在硬编码列表内的杀毒软件。

硬编码杀软列表如下：

360	360安全软件
Kasper	卡巴斯基
eScan	eScan安全软件
Corporate	诺顿杀毒
F-Secure	F-Secure安全软件
Bitdefender	比特梵德
Windows Defender	微软Windows Defender安全软件

Timer4定时器会在启动目录释放一个指向自身的lnk文件用于持久化。

样本会尝试将lnk路径写入注册表自启动项，如果当前系统是Windows XP或者样本以管理员权限运行，该操作将会成功。

将获取到的系统版本，计算机名，用户名，MAC地址，安全软件名信息经过base64编码之后通过HTTP协议发送给服务端上线。上线接口：http[:]//ruthgreenrtg.live/xqgjdxa/yhhzireha/hknbuahwg。

Base64编码后的计算机信息如下：

在分析过程中，通信数据如下图所示：

样本会通过轮询的方式不断的从服务器(http[:]//ruthgreenrtg.live/xqgjdxa/yhhzireha/zbkvngmnc)获取指令执行。

该样本具有截屏、下载执行，文件上传、远程shell功能，相关指令功能如下：

Token	功能
AAAnnnnccccwwwAAA_1	远程shell
AAAnnnnccccwwwAAA_2	屏幕截取
AAAnnnnccccwwwAAA_3	下载执行

远程shell:通过管道的方式执行shell命令。

命令执行结束后，将会把执行结果回传到http[:]//ruthgreenrtg.live/xqgjdxa/yhhzireha/tigkjqay。

屏幕截图功能：远程服务下发该功能指令数据包如图所示：

收到命令后，该样本将在在%TMP%目录生成jpeg格式截图文件。

生成的截图文件如下。

之后将生成的截图上传到http[:]//ruthgreenrtg.live/xqgjdxa/yhhzireha/ibcdgpuw。

下载执行:样本从命令请求的返回包中获取文件URL链接，然后将文件下载到本地%TMP%目录，下载的文件是经过base64编码后的txt文本文件，之后样本会将文件base64解码保存为EXE文件并执行。

执行解码保存的可执行文件。

遗憾的是，在实际分析过程中，我们并没有获取到相关下载文件。

Android平台样本分析

双尾蝎组织在此次Android平台的攻击活动中使用的手法与其惯用手法一致，制作了一个MygramIM应用以及另外一个交友聊天软件应用介绍网站，提供相关应用简介以及应用下载，伪造的网站界面如下：

此类界面分发的APP是双尾蝎组织常用的Android木马，相关信息如下：

应用名称	MD5	图标	包名
MyGramIM.signed.apk	63a0c10dfd3e89683a476fa7e319e017		com.ions.app
WhispersTalk.apk	c76402446b83840dd2d3635522874f8c		Com.whispers.chat

当应用安装启动后将显示相关应用界面，而恶意功能则开始在后台执行。运行界面如图所示：

此类恶意应用功能与红雨滴团队2019年发布的《双尾蝎（APT-C-23）团伙利用带有政治主题的Android恶意软件针对巴勒斯坦的攻击分析》一文中的Android恶意软件功能基本一致，包括获取受害者手机短信，联系人，文件，录音等功能。并且，也都是通过通过Google的FCM（FirebaseCloud Messaging）服务和短信下发指令执行恶意功能。此次短信指令采取了两次base64编码处理。

短信控制指令以及对应功能如下表所示：

指令	功能	指令	功能
#.=	开启上传录音	#,,	停止录音
52101	启动应用程序	52102	关闭应用程序
52103	Enable Mobile Data	52104	Disable Mobile Data
52105	卸载应用程序	52106	删除录音文件
52107	开启WiFi	52108	重启录音功能
52109	取消更新	52110	获取用户手机已安装程序信息
52111	禁用第一次更新	52112	启用第一次更新
52113	获取所有短信内容	52114	获取手机通讯录
52115	启用更新通知	52116	禁用更新通知
52117	启用新的URL	52118	上传手机文件
52119	获取控制指令	52120	获取录制的内容
52121	未启用功能	52122	获取短信通信记录

通过Google的FCM（Firebase Cloud Messaging）服务下发控制指令以及对应功能如下表所示：

指令	功能	指令	功能
Eduardo	检测更新	JadisWalsh	申请权限  统计短信、通讯录
EzekielMonroe	检测录音文件是否存在	LizzieHenry	开始录音并上传录音
CarlRhee/RositaPorter	开启WiFi	BethAaron	对用户手机呼叫转移
HershelJones	无实际功能	AndreaGrimes	获取用户手机短信、获取用户通讯录
Stookey	上传手机文件	SimonBlake	停止录音并上传文件
OliviaKal/FrancineGary	停止录音	TanyaSubramanian	仿冒Facebook等应用更新
update	仿冒Facebook等应用更新	Michonne	卸载程序
TobinSpencer	监控电量变化	LoriHarrison	上传手机固件信息
MaggieChambler	获取连接状态	SashaGreene	发送申请状态
Barbara	电话呼叫转移	JessieMonroe	电话呼叫转移
LydiaAnderson	手机回到主界面、可隐藏APP图标、设置隐藏时间等	DeannaAnderson	上传录音
PatriciaKent	上传手机各种文件	DianneJared	计算空间
AmyLuke	android/main/recordHis目录下文件上传	SophiaAxel	卸载程序
CyndieSamuels	删除文件	LauraPeletier	设置响铃模式

溯源关联

奇安信红雨滴团队安全研究人员结合奇安信威胁情报中心ALPHA平台等内部数据，对此次攻击活动中使用的恶意代码以及攻击手段关联分析发现，此次攻击活动疑似出自APT组织双尾蝎之手。

从代码上，此次攻击活动Android端恶意应用与双尾蝎组织历史使用恶意代码基本一致，均采用了FCM与短信两种指令通信方式，且控制指令也完全一致。

同时奇安信威胁情报中心ALPHA平台(ti.qianxin.com)对此次攻击活动相关IOC已有APT-C-23标签。

总结

中东地区沟通了欧亚非，地理位置十分重要，而由于石油资源、宗教信仰、地缘政治、历史原因等问题又常年战乱不断。随着手机的普及与移动互联网的发展，移动平台已经成为了APT攻击的新战场。APT-C-23常年对巴勒斯坦多个重要领域进行攻击，并持续更新其攻击武器，红雨滴团队将时刻关注APT-C-23 Windows 与 Android最新变种的出现。

同时基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC等，都已经支持对此类攻击的精确检测。

IOCs

471313cb47c6165ec74088fafb9a5545

533b1aea016aacf4afacfe9a8510b168

c12b3336f5efc8e83fcace6f81b27642

006b96fd401a462f084664bbb58344f9

63a0c10dfd3e89683a476fa7e319e017

c76402446b83840dd2d3635522874f8c

http[:]//ruthgreenrtg.live/xqgjdxa/yhhzireha/hknbuahwg

http[:]//ruthgreenrtg.live/xqgjdxa/yhhzireha/zbkvngmnc

http[:]//ruthgreenrtg.live/xqgjdxa/yhhzireha/tigkjqay

http[:]//ruthgreenrtg.live/xqgjdxa/yhhzireha/ibcdgpuw

http[:]//ruthgreenrtg.live/xqgjdxa/yhhzireha/tcpuvvfi

http[:]//escanor.live/rip/ace/king

http[:]//escanor.live/rip/ace/ban

http[:]//escanor.live/rip/ace/fox

https[:]//whispers-talk[.]site/app/whispers/download

https[:]//amanda-hart[.]website

https[:]//darrell-ferris.site/download/YLFIHmx

https[:]//brian-garcia.work

参考链接

https://ti.qianxin.com/blog/articles/apt-c-23-analysis-of-attacks-on-palestinians-by-gangs-using-android-malware-with-political-themes/

本文始发于微信公众号（奇安信威胁情报中心）：近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析