一、
概述
近期奇安信威胁情报中心移动安全团队注意到一波针对伊斯兰国、基地组织、库尔德族群和土库曼族群进行持续攻击控制的活动,时间跨度从自
2019
年
3
月起至今,通过从多源信息的交叉比对我们推测攻击组织来自中东某国,将其命名为利刃鹰组织。
主要时间线如下:
图
1.1
利刃鹰组织针对的特殊攻击目标部分攻击时间线
利刃鹰组织主要使用开源和商业攻击软件,平台涵盖
Windows
和
Android
,截止目前我们一共捕获到
Android
平台攻击样本
43
个,
Windows
平台攻击样本
26
个,涉及的
C&C
域名
3
个。
二、
攻击目标
在对移动端的攻击样本分析过程中,我们发现到利刃鹰组织具有明显的攻击目标指向性,旨在对其目标实现监控及反监控,其攻击包含针对多个特色目标。
(一)
针对伊斯兰国及基地组织等
利刃鹰组织投递多个针对伊斯兰国及基地组织的移动端
RAT
,这些攻击样本涉及到伊斯兰国的主要新闻媒体
Amaq
及官方报纸
Al-Naba
;亲基地组织的宣传网站
Minbar al-Tawhid wa’l-Jihad
;伊斯兰的
Tube
视频应用等。
图
2.1
针对伊斯兰国及基地组织的攻击样本应用图标
(二)
针对库尔德族群
其投递两种针对库尔德族群的移动端
RAT
,这些攻击样本涉及到库尔德斯坦的新闻杂志
Darka Mazi
及一款库尔德键盘应用。
图
2.2
针对库尔德族群的攻击样本应用图标
(三) 针对土库曼族群
其投递一款针对土库曼人的移动端
RAT
,攻击样本涉及到伊拉克知名伊斯兰研究教授宣传网站应用,需要留意的是该网站采用的是土库曼语。特殊的地区人物和特殊的语言,结合地区的局势情况,这对锁定攻击者身份推测大有帮助。
图
2.3
针对土库曼族群的攻击样本应用图标
图
2.4
土库曼语的伊拉克知名伊斯兰研究教授宣传网站
(四) 疑似还针对土耳其人
其投递一款伪装成流行的条形码扫描应用的移动端
RAT
,需要注意的是该样本留有特殊标识“
BarcodeScanner
Turkey
”,疑似还针对土耳其人。
图
2.5
疑似针对土耳其人的攻击样本应用图标
图
2.6
攻击样本留下的特殊标识“
Barcode Scanner
Turkey
”
(五) 疑似针对区域性的监控及反监控
其攻击样本还涉及到多种常见行业应用,包含电视应用、社交保护应用、保险应用、网络应用及游戏应用等,疑似来实现对其关注的区域进行范围监控;另还涉及到多款监控辅助应用,包含位置查看、电话号码定位、自动通话记录和屏幕录制等,疑似来实现反监控。
图
2.7
疑似进行区域监控的涉及多种常见行业的攻击样本应用图标
图
2.8
疑似实现反监控的攻击样本应用图标
三、 载荷投递
基于奇安信威胁情报中心移动安全团队的内部分析系统和奇安信威胁情报平台(
https://ti.qianxin.com/
)关联系统等追踪分析,我们发现到利刃鹰组织攻击载荷主要存放在第三方存储网站上(
up4net.com
),再通过生成对应短链接,最后发布到钓鱼信息中进行载荷投递。如曾在社交平台
Fackbook
上进行的针对库尔德人的载荷投递过程可参见下图。
图
3.1
在
Facebook
上发布钓鱼信息的方式
图
3.2
在
Facebook
上发布的载荷短链接及对应的样本关系
四、 攻击样本分析
利刃鹰组织投入
Windows
和
Android
平台的攻击
RAT
,目前已被发现有五种商业
RAT
。其中
Windows
平台有四种(
Bladabindi
、
Remcos
、
Loda
和
Warzone
),均是常见的
RAT
,故在此不再重复展开分析。
Android
平台有两种(
SpyNote
和
Gaza007
)。
(一) SpyNote
SpyNote
是一款流行的移动端商业
RAT
。其支持的功能多样,最新收费版售价可观,根据不同场景需求目前官方有三种价位
($499
、
$4000
和
$6000)
。其还带有免费版,另有早期版本源码被泄露,其多个破解版本和修改版本已在多个黑客网站上泛滥传播。
图
4.1 SpyNote
被控端代码结构
(
左
)
和控制端管理界面
(
右
)
(二) Gaza007
Gaza007
是一款
2019
年诞生的移动端
RAT
。目前被发现最早于
2019
年
3
月出现,随后被多个攻击者投入使用,目前数量已有千级,我们通过其默认的签名信息进行命名为“
Gaza007
”。其类似于
Spynote
,功能也十分强大,现已支持近四十种远程指令,在初次登场后不久便迅速更新集成有专门钓鱼
Fackbook
的功能。根据其采用的证书签名信息及其主要投入的攻击区域来推测,其大概率是加沙黑客所制作的商业
RAT
。
|
指令
|
指令功能
|
|
Unistxcr
|
跳转到指定应用的详情页面
|
|
Dowsizetr
|
窃取/sdcard/DCIM/.dat/目录下指定文件其文件大小信息到C&C服务器
|
|
DOWdeletx
|
删除/sdcard/DCIM/.dat/目录下指定文件
|
|
Xr7aou
|
窃取/sdcard/DCIM/.dat/目录下指定文件到C&C服务器
|
|
Caspylistx
|
窃取/sdcard/DCIM/.dat/目录下所有文件列表名称信息
|
|
Spxcheck
|
检查是否成功开启或关闭窃取呼叫详细信息服务
|
|
S8p8y0
|
关闭窃取呼叫详细信息服务
|
|
Sxpxy1
|
开启窃取呼叫详细信息服务
|
|
screXmex
|
进行截屏并窃取
|
|
Batrxiops
|
监控电池状态
|
|
L4oclOCMAWS
|
监控受害者地理位置
|
|
FdelSRRT
|
删除盗取到的受害者Facebook凭证文件
|
|
Chkstzeaw
|
检查Facebook应用是否运行
|
|
IODBSSUEEZ
|
将已盗取到的受害者Facebook凭据文件发送到C&C服务器
|
|
GUIFXB
|
启动钓鱼的Facebook登录界面
|
|
LUNAPXER
|
响应启动到另一个应用程序
|
|
Gapxplister
|
获取所有已安装应用程序的列表
|
|
DOTRall8xxe
|
对窃取信息目录下所有文件进行压缩到/DCIM/目录后再上传给C&C服务器
|
|
Acouxacour
|
窃取受害者设备帐户信息
|
|
Fimxmiisx
|
进行拍照并窃取
|
|
Scxreexcv4
|
获取相机情况信息
|
|
micmokmi8x
|
进行录音并窃取
|
|
DTXXTEGE3
|
删除/sdcard/目录下指定文件
|
|
ODDSEe
|
启动指定的Activity
|
|
Yufsssp
|
窃取地理位置的经纬度
|
|
Getsssspo
|
窃取/sdcard/目录下指定文件其文件大小信息到C&C服务器
|
|
DXCXIXM
|
窃取/sdcard/DCIM/目录下所有文件列表名称信息
|
|
f5iledowqqww
|
窃取/sdcard/目录下指定文件到C&C服务器
|
|
SDgex8se
|
窃取/sdcard/目录下所有文件列表名称信息
|
|
PHOCAs7
|
响应拨打指定的电话号码
|
|
Gxextsxms
|
窃取收件箱短信信息列表
|
|
Msppossag
|
响应给指定的手机发送指定的短信消息
|
|
Getconstactx
|
窃取通讯录信息列表
|
|
Rinxgosa
|
播放铃声
|
|
Shetermix
|
响应执行指定的命令
|
|
bithsssp64
|
响应执行指定的脚本文件
|
|
Deldatall8
|
删除/sdcard/DCIM/.dat/目录下所有文件
|
|
M0xSSw9
|
响应弹出指定的Toast消息
|
表
4.2 Gaza007
功能指令表
图
4.3 Gaza007
钓鱼
Fackbook
界面
(
左
)
及对应的实现代码片段
(
右
)
五、 攻击组织溯源分析
利刃鹰组织具有明显的针对特殊群体目标,显然不是普通的黑客组织的攻击需求,我们认为该组织疑似是来自中东某国国家背景下实行的监控活动。主要依据如下:
1、
熟悉某个地区的多种语言及背景,针对地区的库尔德族群、基地组织及土库曼族群,并对该区域疑似实行监控及反监控的攻击。
2、
结合中东某国的历史背景及地缘关系,攻击活动恰好符合其所需。
3、三个
C2
的历史对应
IP
多次显示出位于中东某国,并有多次重叠,显然并不是一种巧合。
图
5.1
选取的
IOC
关联图
六、 总结
中东地区由于宗教种族和地缘政治关系,一直是多个
APT
组织的高度活跃地区。此次的利刃鹰组织也无疑又是其中的一个新代表。需注意的网络钓鱼可谓老生常谈,却仍是攻击者屡试不爽的惯用手法,最有效的武器。
应对这些攻击不仅需要安全厂商的各类安全产品的防护和到位的安全服务支持,更离不开企业对内部自身安全规程及企业内部员工安全防范意识的持续建设。针对普通用户如何避免遭受移动端上的攻击,奇安信威胁情报中心移动安全团队提供以下防护建议:
1、在正规的应用商店下载应用。国内的用户可以在手机自带的应用商店下载,国外用户
可以在
Google Play
下载。不要安装不可信来源的应用、不要随便点击不明
URL
或者扫描安全性未知的二维码。。
2、
移动设备及时在可信网络环境下进行安全更新,不要轻易使用外来的网络环境。
3、对请求应用安装权限、激活设备管理器等权限的应用要特别谨慎,一般来说普通应用不会请求这些权限,特别是设备管理器,正常的应用机会没有这个需求。
4、确保安装有手机安全软件,进行实时保护个人财产安全;如安装奇安信移动安全产品。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(
TIP
)、天擎、天眼高级威胁检测系统、奇安信
NGSOC
等,都已经支持对此类攻击的精确检测。
附录
A
:
IOC
|
APK
样本文件MD5
|
|
8967cf93287a93f747971689cf33e674
|
|
fe7266f1ff31c0faf8f650bfff8bd267
|
|
6034cad5ec2badd4ad3f009f33d2d86e
|
|
5e1e0e5247fd9b509ba25cfb8f2c442b
|
|
9b6c662447aea005a12fecf5d8e5734b
|
|
7d4991317dd0e67daa70a124c62d257c
|
|
271606d7a822610be10830fd13fc94cd
|
|
52d592f68dc64c8f881deddebdae7cb2
|
|
6f2cf52941fa837abd01fd71a16c32ae
|
|
e962674bc94fc7aff06e7fe2a1546f92
|
|
397921cd0df96ea2b46cb50352a61691
|
|
c31f5c84fb2a140ce26ebe2a5a2426b6
|
|
931efe504e5e6c58a738fea5802c6e38
|
|
bf9d2ea0329915b6498db7373e90dc14
|
|
253ea0a6889a8f2b217f0ae6f436ebc3
|
|
555ce971658adde6d5cec86edfbf2a8b
|
|
11024c3ccf7cbbf89c820327c90b7133
|
|
4303d5073d0ee1d69b19c5069d5613d4
|
|
2d0c8974b1942295c07f49c8f4a5b7c5
|
|
9a0f72cdc9a2846da937676e1efe8bf4
|
|
67b20f7d47a18128e8eaebd9c075f4b3
|
|
7462d3be5f649b52794ca5a1f1d201f1
|
|
bb7e661a983f491c63d0337c5da7b291
|
|
d52ecc2c3c57401e2170184b324d8a99
|
|
e9d2370a8ffb54ad7de6b77a1535e21b
|
|
5715d5d0ede440f22c3a468e3003a8bb
|
|
8c543bfa2f35df239b307fc3694bf9f1
|
|
7da70a17c9d804e4e4f6266f5e2f890d
|
|
38b018fbb4d5b1780a2f356238d0f1ea
|
|
dc97856c031fa4e0126b6786cd3fbe8c
|
|
bea771a408f3b3bfff4887704305187c
|
|
90e4ef393b9a2a4ba79148f9d0646d92
|
