APT-C-23 双尾蝎
APT-C-23(双尾蝎)组织,是一个针对巴以地区的教育机构、军事机构等重要领域进行网络间谍活动,以窃取敏感信息为主的网络攻击组织。攻击平台主要包括 Windows 与 Android。该组织的攻击行动最早可追溯到2016年,近年来该组织活动频繁不断被数个国内外安全团队持续追踪和披露。2020年2月,以色列国防军发布推文称,他们成功防御了哈马斯利用社交媒体伪装成美女针对色列国防军的一系列网络攻击行动,并且以色列情报部门采取了相应的反制措施,入侵并摧毁了哈马斯的攻击系统。其中针对以色列国防军发起网络攻击的组织被认为是APT-C-23(双尾蝎)组织。近期,360烽火实验室再次发现哈马斯最新的攻击行动,本次攻击行动中使用的样本与以色列国防军披露的样本属于同源家族,该攻击行动开始于2022年6月,至今仍然处于活跃状态。与以往不同的是,本次攻击行动中使用的攻击样本利用重打包技术将恶意应用作为子包打包进合法的应用。进一步分析发现,本次攻击行动与《针对巴以地区围绕卡塔尔世界杯的攻击行动》报告中攻击组织存在较大关联,由此我们认为两次攻击行动为同一攻击组织所为,即APT-C-23(双尾蝎)组织。 一、攻击行动分析
1.载荷投递方式
本次攻击行动中主要使用钓鱼网站进行载荷投递,我们捕获到APT-C-23(双尾蝎)组织创建的两个钓鱼网站。OPlayer是一个专业的视频播放工具,也是一个功能齐全的文件管理器,在Google Play上需要付费下载,其下载量超过10万。APT-C-23(双尾蝎)组织修改合法的OPlayer应用的名称和图标,并制作了相应的钓鱼网站进行载荷投递,如图1所示,钓鱼网站的证书信息如图2所示。
Align It是一款流行的棋盘游戏,在Google Play 上的下载量超过百万。APT-C-23(双尾蝎)组织使用同样的手法修改合法Align It游戏的名称和图标,并制作了相应的钓鱼网站进行载荷投递,如图3所示,钓鱼网站的证书信息如图4所示。
图4 钓鱼网站www.bbalignit.com证书信息通过钓鱼网站证书信息的有效期,我们认为本次攻击行动开始于2022年6月。2.恶意载荷分析
样本利用重打包技术,将包含恶意功能的应用作为子包插入合法的应用中,并修改合法应用的代码,诱导用户安装恶意子包,然后在后台运行恶意子包,相关代码如图5所示,其运行界面如图6所示。
图5 修改合法应用的代码,诱导用户安装运行恶意子包
恶意子包运行后使用MQTT协议连接服务器,如图7所示。连接服务器成功后,将一直保持在线状态,等待远程服务器下发指令,根据远控指令执行相应的功能,其远控指令对应的功能如图8所示。
恶意子包除了获取设备信息外,其他恶意功能通过动态加载远程下发的dex实现,如图9所示。
由于我们没有捕获到对应的dex文件,暂时无法判断其具体恶意功能,但是根据恶意子包已有的代码,我们认为该恶意子包具有窃取通话录音功能,如图10所示。
二、归属关联
1.归属研判
我们将本次攻击行动归属为APT-C-23(双尾蝎)组织,主要基于以下三点。(1). 本次攻击行动中的样本与色列国防军披露的样本包结构基本一致,并且大部分类名也相同,如图11所示。
图11 以色列国防军披露的包结构(左)和本次攻击行动样本包结构(右)(2). 本次攻击行动中样本使用的网络协议、加密方式、代码逻辑与色列国防军披露的样本基本一致,图12为以色列国防军揭露的样本远控指令代码,图13为本次攻击行动中样本远控指令代码。
(3). 本次攻击行动中使用的恶意样本为APT-C-23(双尾蝎)组织独有的,相关恶意代码尚未发现其他攻击组织使用。2.关联
在《针对巴以地区围绕卡塔尔世界杯的攻击行动》报告中,由于缺少关键情报,只能猜测攻击组织应该归属为巴以地区。我们发现本次攻击行动中钓鱼网站获取APP下载地址的js源码文件名以及代码与《针对巴以地区围绕卡塔尔世界杯的攻击行动》报告中的完全相同,如图14和图15所示,基于此我们认为两次攻击行动的攻击组织相同,均为APT-C-23(双尾蝎)组织。
图14《针对巴以地区围绕卡塔尔世界杯的攻击行动》中获取APP下载地址源码
总结
APT-C-23(双尾蝎)组织本次攻击行动中利用重打包技术将恶意子包隐藏于合法应用中,在增强隐蔽性的同时,也减少了开发成本,使其可以专注于恶意功能开发;我们发现本次活动中使用的攻击样本已经趋于稳定状态,表明该组织已经成熟的掌握了该项技术,或许后续的攻击样本伪装的对象类型会越来越多样化。
MD5
cd7c502f57f70b66e6ca11a451a6d1c0
ddf033245d5b7001ac67f67361db80c9
442f302777d10e106614013d85d74230
00e8399ee027ed4c8378d0e230ed6dd2
e69169bbfd071e3d0e34d6da96571453
8bdc9ba843ade8f5cd059ce346e8617c
C&C
www.qualityanysolution.com
www.newbestmethod.com
钓鱼网站
https://blaxaplayer.com/
https://www.bbalignit.com/
https://play.google.com/store/apps/details?id=com.olimsoft.android.oplayer.pro
https://play.google.com/store/apps/details?id=com.millgame.alignit
https://twitter.com/IDF/status/1228959737305292800
360烽火实验室
360烽火实验室致力于移动恶意软件分析、移动灰黑产研究、移动威胁预警、移动APT的发现与追踪等移动安全领域的深入研究。作为全球顶级移动安全生态研究实验室,360烽火实验室在全球范围内不仅首发了多篇具备国际影响力的移动安全生态研究成果,并且成功狩猎了蔓灵花、拍拍熊等多个APT组织针对我国及境外重要目标的攻击活动。实验室在为360手机卫士、360手机助手、360加固保等公司产品提供核心安全数据的同时,也为科研单位、手机厂商、应用商店及上百家国内外合作伙伴提供了移动应用安全检测服务,全方位守护移动安全