肚腦蟲組織(APT-C-35)移動端攻擊活動揭露
責編:gltian |2018-08-14 13:25:57傳統的APT攻擊主要是針對PC端進行,而隨著智能手機和移動網絡在世界范圍內的普及發展,越來越多黑客組織的攻擊目標也迅速蔓延到移動端,甚至出現出和PC端結合的趨勢。近幾年被國內外安全廠商陸續披露的Fancy Bear、Lazarus、Operation Manul、摩訶草、黃金鼠等多個攻擊組織無疑印證了這點。近期,360烽火實驗室發現肚腦蟲組織(APT-C-35)最新的攻擊已把移動端也加入到其攻擊目標中。
肚腦蟲組織(APT-C-35, 后文統稱肚腦蟲組織),又稱Donot,是一個針對克什米爾地區相關國家的政府機構等領域進行網絡間諜活動,以竊取敏感信息為主的攻擊組織。該組織于2017年3月由360追日團隊首次曝光,隨后有數個國內外安全團隊持續追蹤并披露該組織的最新攻擊活動。被曝光的的攻擊活動都是針對PC端進行,攻擊最早在2016年4月,至今活躍,攻擊方式主要采用魚叉郵件進行攻擊。
2018年8月,一款偽裝成KNS Lite(克什米爾新聞服務)移動端RAT進入了我們的視線。隨后我們發現到一批同類的移動端RAT,它們最早出現于2017年7月,在2018年進入活躍期。綜合我們的調查數據和已知的公開情報,可以確認這是肚腦蟲組織發起的一場針對克什米爾地區相關國家(巴基斯坦和印度)的移動端攻擊活動,該活動從2017年7月持續至今,采用釣魚攻擊,推測還有郵件或者短信的魚叉攻擊。
一、載荷投遞
肚腦蟲組織移動端攻擊活動載荷投遞的方式目前發現有釣魚攻擊;結合移動端攻擊樣本偽裝的對象、獲取到的對應來源名字及竊取信息有郵箱及手機號等,我們推測會使用郵件或者短信的魚叉攻擊。
釣魚網站
在免費在線網站平臺Weebly上發現到一個傳播惡意載荷的網站(playsotreapplications.weebly.com 見圖1.1),該網站頁面內容包含了一些動物相關信息和多個惡意載荷下載鏈接。網站的特殊名稱(playsotreapplications)、惡意載荷采用的誘惑性名字鏈接(chat_lite、vpn等)和對應不上的簡單網頁內容,我們認為這是由攻擊者構造的釣魚網站。另外左側多個醒目的惡意載荷從第一次被發現至今已經傳播了數周,排除了正常網站被用來水坑攻擊的可能,這也是上面我們認為該站是釣魚網站的又一依據。
圖1.1?? 釣魚網站
疑郵件或者短信的魚叉
該組織之前針對PC端的多次攻擊主要采用魚叉郵件的攻擊方式,而移動端的攻擊樣本出現時的圖標和傳播時的文件名都偽裝成正常應用,再加上攻擊時竊取的系統賬號(谷歌等)和通訊錄聯系人手機郵箱信息為魚叉攻擊創造了便利,因此我們推測該行動可能會以魚叉郵件或者短信進行投遞。
二、偽裝方式
肚腦蟲組織在移動端攻擊行動中使用以下兩種偽裝方式,用以提升攻擊的成功率和隱蔽性。
運行后展現形式偽裝
移動端攻擊樣本按照運行后的展現形式分為兩類:一類會自己實現所偽裝應用對象的功能,運行后展示出正常應用的形式來隱藏后臺正在發生的間諜活動(見圖2.1 左);另一類無正常應用功能,運行后提示誘導性欺騙消息,并隱藏圖標刪除快捷方式進行隱藏,實則在后臺進行間諜活動(見圖2.1 右)。?
圖2.1?? 兩種用來隱藏正在發生間諜活動的方式舉例
文件圖標偽裝
文件圖標偽裝主要有兩類:一類是偽裝成針對性的克什米爾新聞、印度錫克教相關應用圖標;另一類是偽裝成通用性的VPN、谷歌服務相關應用圖標。此外還有一款游戲“Cannons And Soldiers” 應用圖標,猜測被攻擊目標應該是該游戲的愛好者。涉及到的偽裝圖標如下(見圖2.2)。
圖2.2?? 偽裝的應用軟件圖標
三、移動端攻擊樣本分析
移動端攻擊樣本屬于RAT,具有響應云端指定攻擊指令(見圖3.1)進行錄音、上傳聯系人/通話記錄/短信等惡意行為,除偽裝的APP名字和運行后的偽裝展現形式不一樣,功能基本相同。
圖3.1?? RAT指令與功能對應關系
四、受攻擊地區分布情況
克什米爾地區位于南亞,在印巴分治時,由于其主權所屬問題沒有得到解決自此引發出雙方一系列的紛爭問題。特殊的局勢背景,導致該地區遭受多個APT組織頻繁的攻擊。在對此次攻擊活動揭露的同時,我們觀察到另一個曾被曝光的Bahamut組織,也正在該地區實行攻擊。
通過分析我們發現肚腦蟲組織此次攻擊事件的目標仍是克什米爾地區,影響的國家為巴基斯坦和印度(見圖4.1)。
圖4.1受攻擊的地區國家分布情況(巴基斯坦和印度)
五、溯源關聯
根據此次移動端攻擊的獲取信息,結合公開情報,我們從下面幾個維度,確認此次攻擊的幕后組織為曾發起多個針對PC端攻擊活動的肚腦蟲組織(APT-C-35)。
C&C
移動端和PC端分別使用的C&C中,有一個出現吻合(drivethrough.top);其次移動端的一個C&C(46.101.204.168)曾經對應著PC端的另一個C&C(sessions4life.pw);最后兩端的一部分C&C都使用谷歌當作跳板,雖然移動端和PC端出現的谷歌ID不是同個。
攻擊地區
都是針對克什米爾地區國家。
命名偏好
移動端RAT樣本均使用數字英文命名方式,而PC端出現過的名為“Boothelp.exe”的RAT類也使用了相同偏好的命名方式(見圖5.1)。
圖5.1?? Android與PC RAT對比
六、總結
肚腦蟲組織是一個由于國家地緣問題產生的間諜情報活動組織,攻擊目標已從PC端發展到移動端。雖被揭露過多次,但由于問題沒解決,攻擊一直在持續,這也是APT的特性。需要特別注意的是,APT攻擊隨著時代的發展,PC端不再是獨有的目標,與人聯系越緊密的每一種網絡設備,都會是下一個攻擊的新目標。在當下,移動端安全問題日益凸顯,移動端APT攻擊逐漸嚴重,移動端的安全意識和安全防護已是人們的一門必修課。
附錄A:IOC
MD5
4efdbdcb3c341f86c4ff40764cd6468f
89b04c7e0b896a30d09a138b6bc3e828
a1827a948b5d14fb79c87e8d9ec74082
7a2b1c70213ad493a053a1e252c00a54
fc385c0f00313ad3ba08576a28ca9b66
843e633b026c43b63b938effa4a36228
b7e6a740d8f1229142b5cebb1c22b8b1
c2da8cc0725558304dfd2a59386373f7
99ce8b2a17f7961a6b88ba0a7e037b5a
1b3693237173c8b7ee2942b69812eb47
7b00d9246335fd3fbb2cac2f2fe9354b
2a1de3eefb43479bfbc53f677902c993
74aa0abb618f9b898aa293cdbd499a4b
92d79d7a27966ea4668e347fe9a97c62
ca9bc074668bb04552610ee835a0e9cf
28d30f19e96200bcf5067d5fd3b69439
be4117d154339e7469d7cbabf7d36dd1
397ed4c4c372fe50588123d6885497c3
e5f774df501c631b0c14f3cf32e54dfb
47fc61cd1d939c99c000afe430451952
e8b68543c78b3dc27c7951e1dc8fae89
C&C
138.68.81.74
139.59..46.35
206.189.42.61
46.101.204.168
85.204.74.117
95.85.15.131
godspeed.geekgalaxy.com
jasper.drivethrough.top
附錄B:參考鏈接
[1]https://ti.360.net/blog/articles/latest-activity-of-apt-c-35/
[2]https://www.reuters.com/article/us-india-cyber-threat/exclusive-india-and-pakistan-hit-by-spy-malware-cybersecurity-firm-idUSKCN1B80Y2