查看原文
其他

针对巴以地区围绕卡塔尔世界杯的攻击活动

360烽火实验室 360威胁情报中心 2022-12-15

世界杯是世界上最高荣誉、最高规格、最高竞技水平、最高知名度的足球比赛,与奥运会并称为全球体育两大最顶级赛事,影响力和转播覆盖率超过奥运会的全球最大体育盛事,其全球电视转播观众超过35亿。世界杯每四年举办一次,今年正好是第22届世界杯,在卡塔尔举行,于北京时间2022年11月21日开始,至12月18日结束。

四年一度的世界杯,让全世界球迷狂欢,而部分网络攻击组织也会利用这个契机,进行有针对性的网络攻击。2018年APT-C-23组织就通过将攻击样本伪装成世界杯直播类应用进行网络攻击,今年我们同样发现有组织将攻击样本伪装成世界杯相关应用针对阿拉伯语用户发起攻击,截止到目前(2022年12月9日),我们发现受感染的设备已经超过1000,主要分布在以色列和巴勒斯坦地区。与其他攻击不同的是此次攻击具有较高时效性,整个攻击活动的攻击时间围绕着世界杯的举办赛程时间。此次攻击的开始准备的时间为10月10号左右,开始进行攻击的时间为11月5号左右。为了赶在世界杯开始之前发起攻击,攻击者在一些细节方面出现准备不足的情况,这表明了此次攻击时效性非常高。图1展示了此次攻击行动中各时间段攻击者的各种行为,橙色区间为准备期,蓝色区间为实施攻击期。

图1 攻击时间段

攻击活动分析 

1.攻击流程分析 

攻击者提前运营了一个Facebook账号,在实施攻击时发布包含钓鱼网站的卡塔尔世界杯相关帖子,诱导用户前往钓鱼网站下载安装恶意应用,最终实现对目标的攻击行动,攻击流程如图2所示。

图2 攻击流程

2.载荷投递分析

1.1.载荷投递方式

攻击者主要通过钓鱼网站进行载荷投递,利用Facebook账号传播钓鱼网站,诱导受害者下载安装恶意应用。钓鱼网站制作精良,网站页面显示语言为阿拉伯语,并且适配了移动端和PC端,图3为移动端显示的钓鱼网站,图4为PC端显示的钓鱼网站。钓鱼网站的证书有效期的起始时间为2022年10月12日,如图5所示,表明攻击者在10月12号之前已经开始为此次攻击进行准备。

图3 移动端网站显示内容

图4 PC端网站显示内容

图5 钓鱼网站证书信息

虽然钓鱼网站制作比较精良,但是通过分析钓鱼网站的源码,我们发现其制作过程比较仓促,获取恶意应用下载地址的测试代码都没有删除;并且通过源码发现,攻击者最初准备实现两个不同版本的恶意应用,目前却只使用了版本1,可能由于此次攻击时效性比较强,攻击者来不及实现版本2。如图6所示钓鱼网站部分源码。

图6 网站代码

攻击者的Facebook账号最早发贴时间为2022年10月10日,结合钓鱼网站证书有效期的起始时间,表明攻击者此次攻击是有计划的,各种操作都在有条不紊地进行。

图7 攻击者的Facebook账号发布的第一个帖子

攻击者Facebook账号首次发布包含钓鱼网站的帖子的时间为2022年11月11日,如图8所示;钓鱼网站上样本首次上传时间为2022年11月5号,如图9所示;种种迹象表明攻击者非常注重时效,尽可能在世界杯开始前做好所有准备工作。

图8 传播钓鱼网站的帖子

图9 钓鱼网站上样本

后续我们发现2022年11月30号和2022年12月1号都有上传更新样本至钓鱼网站的情况,表明攻击活动一直都在活跃中。

图10 钓鱼网站不同时间段的样本

1.2.恶意载荷分析

样本启动后将展示卡塔尔世界杯相关的正常功能,显示的内容为阿拉伯语,也表明攻击目标为阿拉伯语用户,其运行界面如下所示:

图11 样本运行界面

除此之外还会在后台获取各种设备信息回传至C&C服务器,如图12所示,并执行多种恶意功能,窃取隐私信息,其主要恶意功能如下:

      • 通话录音
      • 录音
      • 拍照
      • 获取通话记录
      • 获取联系人
      • 获取短信
      • 键盘记录
      • 截图
      • 获取通话记录
      • 获取已安装应用列表
      • 获取位置信息
      • 获取通知栏信息
      • 获取文件列表
      • 获取相册的缓存图片
      • 获取图片以及缩略图
      • 获取视频以及缩略图
      • 获取文档
      • 获取剪切板内容
      • 获取浏览器书签和浏览记录
      • 检查安装的杀软
      • 执行远控命令
      • root权限下获取whatsapp 聊天数据库
      • root权限下获取 wire 聊天数据库

图12 回传设备信息至服务器

在样本中包含明显测试名称的包名,表明攻击者可能没有充足的时间删除或修改包名,就要将样本投入攻击活动中。

图13 疑似测试包名

 归属研判 

受害者分析

在攻击者服务器泄露的数据中,我们发现了1068个被感染的设备,泄露数据中包含有设备时区信息,阿拉伯语区域的设备占比为92.32%,主要分布在以色列,其次是巴勒斯坦,下图为被感染设备对应的时区区域分布。

图14 感染设备对应的时区区域分布

此外,泄露的数据还包含设备第一次被感染的时间,根据时间信息,我们发现世界杯开始期间感染设备量激增。

图15 每日新增感染设备

攻击组织

我们发现早在2021年3月就有报告揭露过该攻击组织的攻击活动,其中样本的打包时间最早为2020年8月23日,这表明攻击组织早在2年前已经开始实施各种攻击活动。长期的网络攻击活动需要有稳定的财政支持,表明攻击组织并非常规网络攻击组织。

在2018年世界杯期间,APT-C-23组织通过仿冒世界杯相关应用对巴以地区实施网络攻击,而此次攻击组织也是仿冒世界杯对巴以地区实施网络攻击。通过已有情报,我们无法确定此次攻击组织与APT-C-23组织存在关联,但根据受害者分布的区域,我们认为此次攻击组织熟悉巴以地区的文化和习俗,应该归属为巴以地区。

总结与建议 

世界杯全球体育最顶级赛事之一,受到世界上所有的球迷追捧,由于部分国家网络基站建设滞后,移动端应用生态不够健全,无法实现移动端观看世界杯直播。这些客观条件往往给攻击者创造了绝佳的机会,只需要简单的伪装就可以将恶意应用轻松分发给目标群体,从而实现通过网络攻击获取情报。

对于这种情况,我们列出了一些通用的安全防范排查建议。

1.确保安装了杀毒应用2.仅从应用商店下载并安装软件3.谨慎打开通过短信或邮件收到的任何链接4.尽量不授权应用敏感权限5.保持操作系统和应用程序处于最新状态6.定期检查移动设备上安装的应用程序移动/Wi-Fi数据的使用情况7.密切关注杀毒应用提示的警报信息,并采取必要的措施


附录 IOC

MD5:

0207cd4c8bfcc0c0da69542fa9b4c04c

6905fac52473837ed4c548915b5c65a3

380871a83138792b085a2d6d915fddfc

C&C:

https://firebaseconnections.com/backendNew/public/api/

https://firebasecrashanalyticz.com/backendNew/public/api/

Facebook账号:

https://www.Facebook.com/profile.php?id=100086679879259


参考

https://twitter.com/ESETresearch/status/1596222232384401408

https://www.zimperium.com/blog/new-advanced-android-malware-posing-as-system-update/







360烽火实验室

360烽火实验室致力于移动恶意软件分析、移动灰黑产研究、移动威胁预警、移动APT的发现与追踪等移动安全领域的深入研究。作为全球顶级移动安全生态研究实验室,360烽火实验室在全球范围内不仅首发了多篇具备国际影响力的移动安全生态研究成果,并且成功狩猎了蔓灵花、拍拍熊等多个APT组织针对我国及境外重要目标的攻击活动。实验室在为360手机卫士、360手机助手、360加固保等公司产品提供核心安全数据的同时,也为科研单位、手机厂商、应用商店及上百家国内外合作伙伴提供了移动应用安全检测服务,全方位守护移动安全

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存