APT-C-35(肚脑虫)组织在移动端采用新的投递方式分析
APT-C-35(肚脑虫)组织,又称Donot,是一个针对克什米尔地区相关国家的政府机构等领域进行以窃取敏感信息为主的网络攻击行动的APT攻击组织。该组织具备针对Windows与Android双平台的攻击能力。在针对Android平台的历史攻击活动中,肚脑虫组织多利用钓鱼网站和社交媒体进行网络攻击。
360烽火实验监控到一批肚脑虫组织的移动端攻击样本,通过对样本进行分析发现,这批样本使用的字符串加密方式以及载荷投递方式均有别于此前的攻击。
一、受影响情况
通过对受害者的地理位置进行分析我们发现,攻击活动受影响的地区主要是孟加拉国和斯里兰卡,受影响的时间范围从2022年6月至2023年2月。
二、攻击活动分析
1.载荷投递分析
1.1.载荷投递方式
我们在该组织近期的攻击活动中观察到两种载荷投递方式:
2)通过PDF诱饵文档联网下载
第一种方式最常用,通过受害者设备上落地的攻击样本路径可以知道,攻击者通过使用WhatsApp等社交软件直接传输伪装成聊天应用的APK安装包给受害者。
文件路径 |
/storage/emulated/0/whatsapp/media/whatsapp+ documents/ringchat_v4.1q.apk |
第二种方式为首次出现,即利用文档类文件作为诱饵进行移动样本的投递。
借助文档类文件作为诱饵,诱导用户打开后再联网下载其它恶意组件或攻击样本的方式通常是Windows端APT攻击最常用的投递手法。本次肚脑虫组织利用这种方式进行投递,可谓是创新之举。
1.2.诱饵文件分析
MD5 | 37627799932fc1506fbacf884c142186 |
文件名 | 02Draft (2).pdf |
诱饵文件伪装成名称为“草稿”的PDF文档,当用户打开文档后,会直接显示一个提示框,提示用户需要安装一个插件才可查看。点击下载按钮后会使用浏览器打开指定URL。攻击者服务器会判断该URL请求端的平台类型,如果不是Android平台,则会返回错误页面,如果是Android平台,则会下载一个名称为PluginL26.9.22.apk(不同时间下载的版本不一样)的伪装成插件的Android安装包,该安装包即为肚脑虫组织专用的Android RAT。
2.攻击样本分析
肚脑虫组织最新攻击样本与早期攻击样本的恶意功能和云端执行命令完全一致,可以执行云端下发的命令进行录音、上传联系人、通话记录、短信等恶意行为,相关命令和功能如下表。
图2 恶意包结构
指令 | 功能 |
Call | 获取通话记录信息 |
CT | 获取联系人信息 |
SMS | 获取短信 |
Key | 获取APP输入内容信息 |
Tree | 获取SD卡文件列表 |
AC | 获取Account信息 |
Net | 获取网络、运营商等信息 |
CR | 设置通话录音 |
LR | 设置特定时间段录音 |
FS | 文件上传开关 |
GP | 获取位置信息 |
PK | 获取安装应用列表 |
BW | 获取浏览器书签信息 |
CE | 获取日历信息 |
Wapp | 获取WhatsApp聊天信息 |
三、技战法变化
1.编码方式
新样本对关键的字符串比如文件名、远控指令等使用了新的编码方式,不再沿用之前base64编码或硬编码的方法,而是采用了AES加密算法对关键的字符串进行加密存放,增加了分析和查杀难度。
图3 历史样本中硬编码文件名字符串
图4 新样本使用AES加密文件名字符串
2.攻击手法
在针对Android平台的历史攻击活动中,肚脑虫组织多利用钓鱼网站和社交媒体进行网络攻击。而本次我们发现,该组织创新性的使用了PDF诱饵文档下载Android端RAT样本。详细的投递执行过程在前面的章节进行了介绍,这里不再赘述。
结合该组织在Windows端和Android端常用投递方式我们推测,本次使用的PDF诱饵文档很可能是通过鱼叉式网络钓鱼邮件或者社交应用进行的传播。
360烽火实验室
360烽火实验室致力于移动恶意软件分析、移动灰黑产研究、移动威胁预警、移动APT的发现与追踪等移动安全领域的深入研究。作为全球顶级移动安全生态研究实验室,360烽火实验室在全球范围内不仅首发了多篇具备国际影响力的移动安全生态研究成果,并且成功狩猎了蔓灵花、拍拍熊等多个APT组织针对我国及境外重要目标的攻击活动。实验室在为360手机卫士、360手机助手、360加固保等公司产品提供核心安全数据的同时,也为科研单位、手机厂商、应用商店及上百家国内外合作伙伴提供了移动应用安全检测服务,全方位守护移动安全