内容简介:2017年3月15日奇安信红雨滴高级威胁分析团队已经对APT-C-23做了详细的揭露,APT-C-23组织的目标主要集中在中东地区,尤其活跃在巴勒斯坦的领土上。2016 年 5 月起至今,双尾蝎组织(APT-C-23)对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台主要包括 Windows 与 Android。Android恶意程序主要伪装成两类应用程序:一类为聊天工具,另一类为软件升级工具。其传播方式主要有两种:第一种方法是通过短信,其中包含指向Google
背景介绍
2017年3月15日奇安信红雨滴高级威胁分析团队已经对APT-C-23做了详细的揭露,APT-C-23组织的目标主要集中在中东地区,尤其活跃在巴勒斯坦的领土上。2016 年 5 月起至今,双尾蝎组织(APT-C-23)对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台主要包括 Windows 与 Android。
Android恶意程序主要伪装成两类应用程序:一类为聊天工具,另一类为软件升级工具。其传播方式主要有两种:第一种方法是通过短信,其中包含指向Google云端硬盘的网址或托管APK的C&C域名,第二种方法是将他们的应用程序上传到第三方应用商店。其中Android版本当时已经更新了两个版本,类名对应的功能如下图。
近期Check Point发现了APT-C-23使用了带有政治主题的诱饵PDF文件,使用了新的C2 frowtisice[.]club。
经过我们分析,新样本在原有的基础上功能进行了增加,代码结构、控制指令等都进行了巨大的改变,程序运行后会显示带有政治主题的诱饵PDF文件,而随着巴以冲突的持续升温,APT-C-23再次更新其目的也显而易见。
下图为样本运行以后带有政治主题的PDF诱饵文件:
样本分析
APT-C-23新样本通过仿冒Acrobat更新,并通过显示含有政治主题的诱饵PDF文件,诱骗用户安装使用;恶意软件主要目的为窃取用户手机信息,并对用户手机进行远程控制,新程序继承了APT-C-23下发控制指令的模式,实现了两种向应用推送消息的方式,FCM和SMS通信,从而可以更加稳定的接收到控制指令;程序运行以后会隐藏自身图标,从而保护自身不被卸载;程序会通过两种方式下发控制指令,两种方式下发的指令其功能类似,例如:开始对用户手机进行录音,上传用户手机短信,上传用户手机通讯录,上传用户手机文件等操作。
恶意程序运行界面
程序运行后隐藏自身图标
APT-C-23实现了两种向应用推送消息的方式,FCM和SMS通信,从而可以更加稳定的接收到控制指令。
通过SMS的控制指令下发
SMS控制指令:
| 控制指令 |
指令含义 |
控制指令 |
指令含义 |
| #.= |
开启录音,并上传录音 |
52115 |
启用更新通知 |
| #,, |
停止录音 |
52116 |
禁用更新通知 |
| 52101 |
启动应用程序 |
52117 |
启用新的URL |
| 52102 |
关闭应用程序 |
52118 |
上传手机文件 |
| 52103 |
Enable Mobile Data |
52119 |
获取控制指令 |
| 52104 |
Disable Mobile Data |
52120 |
获取录制的内容 |
| 52105 |
卸载应用程序 |
52121 |
未启用功能 |
| 52106 |
删除录音文件 |
52122 |
获取短信通信记录 |
| 52107 |
开启WiFi |
||
| 52108 |
重启录音功能 |
||
| 52109 |
取消更新 |
||
| 52110 |
获取用户手机已安装程序信息 |
||
| 52111 |
禁用第一次更新 |
||
| 52112 |
启用第一次更新 |
||
| 52113 |
获取所有短信内容 |
||
| 52114 |
获取手机通讯录 |
通过短信下发指令:
指令:#.=
指令:#,,
指令:52101
指令:52102
指令:52103
指令:52104
指令:52105
指令:52106
指令:52107
指令:52108
指令:52109
指令:52110
指令:52111
指令:52112
指令:52113
指令:52114
指令:52115
指令:52116
指令:52117
指令:52118
指令:52119
指令:52120
指令:52121
指令:52122
重要代码截图
获取用户短信:
获取用户手机通讯录:
上传URL:https://frowtisice.club/Margarita
通过FCM的控制指令下发
| 控制指令 |
指令含义 |
| Eduardo |
检测更新 |
| JadisWalsh |
申请权限统计短信、通讯录 |
| EzekielMonroe |
检测录音文件是否存在 |
| LizzieHenry |
开始录音并上传录音 |
| CarlRhee |
开启WiFi |
| RositaPorter |
开启WiFi |
| BethAaron |
对用户手机呼叫转移 |
| HershelJones |
无实际功能 |
| AndreaGrimes |
获取用户手机短信、获取用户通讯录 |
| Stookey |
上传手机文件 |
| SimonBlake |
停止录音并上传文件 |
| OliviaKal |
停止录音 |
| FrancineGary |
停止录音 |
| TanyaSubramanian |
仿冒Facebook、WhatsApp、GooglePlay、Messenger、Instagram更新 |
| update |
仿冒Facebook、WhatsApp、GooglePlay、Messenger、Instagram更新 |
| Michonne |
卸载程序 |
| TobinSpencer |
监控电量变化 |
| LoriHarrison |
上传手机固件信息 |
| MaggieChambler |
获取连接状态 |
| SashaGreene |
发送申请状态 |
| Barbara |
电话呼叫转移 |
| JessieMonroe |
电话呼叫转移 |
| LydiaAnderson |
手机回到主界面、可隐藏APP图标、设置隐藏时间等 |
| DeannaAnderson |
上传录音 |
| PatriciaKent |
上传手机各种文件 |
| DianneJared |
计算空间 |
| DeniseAnderson |
未启用功能 |
| TammyJed |
未启用功能 |
| MagnaRose |
未启用功能 |
| AmyLuke |
上传/android/main/recordHis下文件 |
| KarenOscar |
未启用功能 |
| AratBertie |
未启用功能 |
| TamielBrion |
未启用功能 |
| SophiaAxel |
卸载程序 |
| CyndieSamuels |
删除文件 |
| LauraPeletier |
设置响铃模式 |
| GoTesna |
未启用功能 |
| MariDuncan |
未启用功能 |
指令:Eduardo
指令:JadisWalsh
指令:EzekielMonroe
指令:LizzieHenry
指令:CarlRhee
指令:RositaPorter
指令:BethAaron
指令:HershelJones
指令:AndreaGrimes
指令:Stookey
指令:SimonBlake
指令:OliviaKal
指令:FrancineGary
指令:TanyaSubramanian
指令:update
指令:Michonne
指令:TobinSpencer
指令:LoriHarrison
指令:MaggieChambler
指令:SashaGreene
指令:Barbara
指令:JessieMonroe
指令:LydiaAnderson
指令:DeannaAnderson
指令:PatriciaKent
指令:DianneJared
指令:"DeniseAnderson
指令:TammyJed
指令:MagnaRose
指令:AmyLuke
指令:KarenOscar、AratBertie、TamielBrion
指令:SophiaAxel
指令:CyndieSamuels
指令:LauraPeletier
指令:GoTesna、MariDuncan
重要代码截图
遍历手机文件:
删除临时文件,随机释放空间,为上传文件做准备:
获取短信:
获取通讯录:
总结
中东地区沟通了欧亚非,地理位置十分重要,而由于石油资源、宗教信仰、地缘政治、历史原因等问题又常年战乱不断。随着手机的普及与移动互联网的发展,移动平台已经成为了APT攻击的新战场。APT-C-23常年持续对巴勒斯坦多个重要领域进行攻击,而此次在巴以双方摩擦不断的情况下,APT-C-23移动端再次更新,并且使用了带有政治主题的PDF诱饵样本,诱骗用户安装使用。所以移动APT的更新速率以及实时性值得我们关注,我们也会时刻关注APT-C-23 Windows与 Android最新变种的出现。
IOC
样本Hash:
8B48CEC7CB30FF0F02B06C51AA15F24F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&C:
frowtisice.club
参考信息
https://www.freebuf.com/articles/system/129223.html
https://www.jianshu.com/p/702ddf8dd51c
https://www.symantec.com/blogs/expert-perspectives/ongoing-android-malware-campaign-targets-palestinians-part-2
声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- 攻防最前线:伊朗黑客组织OilRig升级钓鱼邮件中的诱饵木马
- 近期使用新冠疫情(COVID-19)为诱饵的APT攻击活动汇总
- 团伙作战 - DDoS攻击惯犯图鉴
- 如何利用开源威胁信息分析APT团伙
- 贪吃蛇挖矿木马团伙分析报告
- 绿盟科技《IP团伙行为分析》报告解读
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Hatching Twitter
Nick Bilton / Portfolio Hardcover / 2013-11-5 / USD 28.95
The dramatic, unlikely story behind the founding of Twitter, by New York Times bestselling author and Vanity Fair special correspondent The San Francisco-based technology company Twitter has become......一起来看看 《Hatching Twitter》 这本书的介绍吧!
