在移动端的APT攻击中,攻击者通常倾向于利用私密聊天软件作为诱饵进行窃密行动。这类聊天软件声称能够加密通信,提供更高的保密性,以满足特定人群的需求。同时,聊天软件通常要求访问各种敏感权限,伪装成聊天软件可以有效降低用户的警觉性。
APT-C-56(透明部落)是南亚一个具有政府背景的高级持续性威胁组织,其长期针对周边国家和地区的军队和政府机构实施定向攻击,目的是收集各类情报。
我们在2023年8月发现了一起伪装成聊天软件进行窃密活动的攻击事件,并持续跟踪至今。攻击者使用伪装成Google Play页面的钓鱼网站来分发恶意聊天软件。通过对服务器数据和受害者数据的分析,我们发现,受害者群体包括印度军事部门、农业部门和航空服务部门等人员。通过资产关联和TTP分析我们推测,本次事件的攻击者可能属于透明部落组织。
一、受影响情况
通过对受害者数据创建时间的分析,我们推测此次攻击活动至少开始于2023年6月甚至更前的时间,并持续至今。这些数据共涉及了六十多台不同受害者设备。这是首次发现透明部落组织针对农业和航空相关人员发起的移动端攻击。
二、攻击活动分析
1.载荷投递分析
在此次攻击活动中,攻击者利用多个钓鱼网站进行载荷投递。尽管钓鱼网站使用了不同的钓鱼域名,但所有网站均伪装成同一聊天应用的虚假Google Play官方下载页面,并且下载的是同一个恶意样本。
|
钓鱼网站地址 |
样本下载地址 |
|
http://www.vibechatt[.]chat/ |
https://vibechatt[.]chat/play-store-app/Vibe.apk |
|
http://signalchat[.]chat/vibechatt.chat/play-store-app |
http://signalchat[.]chat/vibechatt.chat/play-store-app/Vibe.apk |
|
http://www.vibechatt.signalchat[.]chat/play-store-app |
http://www.vibechatt.signalchat[.]chat/play-store-app/Vibe.apk |
|
http://signalchat[.]chat/vibechatt.chat |
https://vibechatt[.]chat/play-store-app/Vibe.apk |
图1 伪装成Google Play官方下载页面
图2 存储样本的目录
2.攻击样本分析
在本次攻击活动中,攻击者创建了一款名为Vibe的带有窃密功能的恶意聊天应用程序。该聊天应用的部分聊天功能和窃密功能使用的是同一个服务器地址,在聊天功能中还使用了Firebase Realtime Database(实时数据库)进行数据存储。
恶意聊天应用的聊天功能和窃密功能并非独立的模块,而是集成在同一个类中,这表明该应用很可能是由开发者独立开发。
图3 应用欢迎界面
基于应用使用的Firebase数据库地址,我们将此新恶意家族命名为Dcpro。该家族仅具备少量的基本信息窃取功能,包含的恶意功能如下:
-
窃取联系人
-
窃取通话记录
-
窃取短信
-
窃取指定WhatsApp目录媒体文件
-
窃取设备外部存储文件
图4 主要的功能类
图5 窃取指定WhatsApp目录媒体文件
在分析样本过程中发现,样本的自更新地址和其下载地址不同,使用了新的地址进行应用自更新。
图6 应用的自更新
三、归属研判
1.C&C服务器
通过溯源样本C&C信息,我们发现开发者设置的默认时区是巴基斯坦的卡拉奇,由此推测开发者可能位于巴基斯坦。
图7 设置时区
2.网络资产
样本的C&C和下载、更新地址解析的IP位于同一个网段内,其中C&C解析的IP(95.217.147.103)也被巴基斯坦的多个大学、企业等官方网站的域名解析。
|
类别 |
域名 |
解析IP |
|
样本C&C |
Waqarawan[.]xyz |
95.217.147[.]103 |
|
更新地址 |
Honeybeechatt[.]com |
95.217.147[.]100 |
|
下载地址 |
Vibechatt[.]chat |
95.217.147[.]100 |
对受害者数据进行画像分析发现,受害者多数是印度军事相关人员。在泄露数据中我们还发现了一个疑似攻击者的设备,该设备上存在一个名称为“y.apk”的文件,该文件属于透明部落组织CapraRAT家族移动端RAT样本。
图8 疑似攻击者设备中的文件
4.载荷投递关联
在同家族样本的某个投递地址下,我们发现了一个名称为“ynjhjhgfdt.apk”的APK文件,该文件也属于透明部落组织CapraRAT恶意家族。
图9 投递地址下CapraRAT家族样本
基于以上四方面信息以及结合透明部落组织的归属和攻击目标,我们将本次攻击活动归因于透明部落组织。
聊天软件以其独特的“魅力”持续吸引着众多攻击组织的青睐,借助聊天软件,攻击者不仅可以轻松获取受害者的各类隐私数据,更能很好的隐藏自己的恶意功能不被发现,达到持久攻击的目的。
与大多数APT攻击样本不同的是,本次攻击事件使用的样本明显控制了敏感行为和敏感权限数量,使其恶意功能更贴近于聊天软件,在免杀效果上也有了明显提升。这和我们之前发现的该组织使用RlmRat精简版进行的攻击活动有异曲同工之妙,可见透明部落组织未来在移动端的攻击可能会更加倾向于精简化。
7508dd2a6f8a6b051c12fa6fb257f1ab
291b7062cfe987973b24f42a229153ab
c6756f595ef16e6e8f2a49c251a75bc4
fc54078c5ae26d856109d306c37909ae
72900574563dfef2e30eb17229b8831c
waqarawan[.]xyz
www.ghmeetag[.]xyz
syntheticschoolsystem[.]com
http://www.vibechatt[.]chat
http://signalchat[.]chat/vibechatt.chat/play-store-app
http://www.vibechatt.signalchat[.]chat/play-store-app
http://signalchat[.]chat/vibechatt.chat
https://vibechatt[.]chat/play-store-app/Vibe.apk
http://signalchat[.]chat/vibechatt.chat/play-store-app/Vibe.apk
http://www.vibechatt.signalchat[.]chat/play-store-app/Vibe.apk
https://www.honeybeechatt[.]com/play-store-app/updatee.apk
https://vibechatt[.]com/play-store-app/VibeApp.apk
原文始发于微信公众号(360威胁情报中心):影聊计划:APT-C-56(透明部落)组织使用新恶意软件进行持久攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论