一、受影响情况
在本次攻击活动中,我们监测到的攻击最早开始于2023年3月,并且一直持续到8月份。受影响地区主要为印度,同时发现尼泊尔地区也有少量受害用户。
二、攻击活动分析
1.载荷投递分析
通过受害者设备上落地的攻击样本路径可以知道,攻击者通过使用WhatsApp等社交软件直接传输APK安装包给受害者。
|
|
|
|
近期监控到的样本主要伪装成“Aadhaar”、“训练照片”、“学生简介”等程序,均属于RlmRat家族。相关的远控指令未发生任何变化,但是对其恶意功能进行了大量削减,仅仅保留了窃取设备文件的功能,属于是RlmRat的精简版本。
样本使用了极少的权限,主要是访问网络和读写设备外置存储的权限。这些权限对于绝大多数应用来说是必不可少的,因此极难引起用户注意。
样本启动后除了显示正常的页面外,会在后台开启服务,与C&C服务器进行通信,接收服务器远控指令,对应的功能主要涉及对设备文件的窃取。
相关指令和功能如下:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
C&C地址使用了字节数组进行存储:
过滤文档类型文件:
三、归属研判
Android平台的RlmRat家族自去年发现以来一直被透明部落组织使用,因此该家族属于透明部落组织在移动端的特有攻击武器。本次攻击活动中,攻击者使用了精简版的RlmRat家族样本,对印度和尼泊尔用户进行攻击。
另外,精简版RlmRat样本使用的C&C和去年完整版样本的C&C存在重叠,因此,可以明确判定这是透明部落组织在今年发起的针对移动端用户的又一起持续性定向攻击活动。
原文始发于微信公众号(360威胁情报中心):APT-C-56(透明部落)使用RlmRat家族最新攻击活动
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论