APT-C-23(双尾蝎)持续对中东地区发起攻击
APT-C-23(双尾蝎)又被称为Arid Viper 、Micropsia、Frozen Cell、Desert Falcon,攻击范围主要为中东地区相关国家的教育机构、军事机构等重要领域,网络攻击行动以窃取敏感信息为主,具备针对Windows与Android双平台的攻击能力。
自2023年4月被曝使用新工具集攻击巴勒斯坦地区以来,我们陆续监测到2023年上半年APT-C-23(双尾蝎)投放Micropsia和Arid Gopher木马攻击以色列、巴勒斯坦等地区。
一、攻击活动分析
Micropsia
Micropsia是一个由Delphi编写的恶意程序,Micropsia通常在程序内打包有可执行文件,早期的Micropsia后门可在其资源段中发现至少3个可执行文件:
2、命令执行版WinRAR用于将窃取的文件进行压缩;
1、键盘监控输出到本地文件后进行回传;
3、对目标机器进行指定后缀文件搜寻并进行压缩打包上传。
伪装成文档文件的可执行程序中释放的文档文件均使用阿拉伯语编写,主要针对使用阿拉伯语种人群。
MD5 | 文件名 |
d4bc2ee72882ec6f0701b67b41cb0868 | Protecting computers and information security in government departments pdf.exe |
b8d97f967bdb2e9f71d6af738af81626 | Strategic Management 10102022 Strategic Management docx.exe |
63dca80229022f1cba49aea45f05e544 | The effects of using loofah on the skin and face.docx.exe |
其中以巴勒斯坦政府公文进行投递的示例。
值得注意的是另外两个伪装成DOC文档的样本由一位西班牙用户进行上传,且DOC文档中的语言识别为沙特阿拉伯语,西班牙的官方语言有西班牙语加泰罗尼亚语等,与阿拉伯语关联甚少,因此无法对该用户性质进行判断,无法确定APT-C-23(双尾蝎)是否将目光扩散至西班牙地区人群。
释放的文档中残留有创建用户信息。
木马运行后会使用WMI进行查询计算机安装的杀毒软件情况,与以往一样会通过Shortcut软件在“Startup”目录中生成Micropsia木马的快捷方式用于持久化。
SELECT * FROM AntiVirusProduct
SELECT * FROM AntiSpywareProduct
*.rar | *.doc | *.qfg | *.txt | *.OGG |
*.vcf | *.docx | *.vrlog | *.xlsx | *.M4P |
*.xls | *.csv | *.wav | *.mdb | *.M4V |
*.txt | *.dot | *.mp4 | *.AVI | |
*.avi | *.ppt | *.JPG | *.AVCHD | *.WMV |
*.wmv | *.pptx | *.JPEG | *.MPEG | *.MOV |
*.mkv | *.odt | *.PNG | *.MPE | *.QT |
*.m4a | *.mdb | *.tiff | *.WEBM | *.FLV |
*.amr | *.accdb | *.gif | *.MPG | *.SWF |
*.odt | *.accde | *.rtf | *.MP2 |
收集了对应后缀的文件后Micropsia木马会使用RAR程序进行数据打包上传。
Arid Gopher
DIR=WindowsPerceptionService
ENDPOINT=http://gsstar.net/IURTIER3BNV4ER
LOGS=logs.txt
DID=code.txt
VER=7.2
EN=2
ST_METHOD=r
ST_MACHINE=false
ST_FLAGS=x
COMPRESSOR=7za.exe
DDIR=ResourcesFiles
BW_TOO_ID=7463b9da-7606-11ed-a1eb-0242ac120002
SERVER_TOKEN=PDqMKZ91l2XDmDELOrKB
二、归属研判
Micropsia
40054bb769af8fe618ed0b4f2836d060
4ebb0fa36819c6ad36cdd36c0b661559
37fc7db07f32b6191d6201252f60f64c
146c187d13f4c898693073beef3dae5f
d5a6fd19b136ae6ba3495d77a0b7ae81
054ac123f749886a2da45c2c60fa786c
509f78da474e20c6cdcde2ab5ee32b4c
d4bc2ee72882ec6f0701b67b41cb0868
6c2e077fbd55a3ea7f843507ac00e686
ebd1cf78fbb8531533426cb19f78d58e
b8d97f967bdb2e9f71d6af738af81626
3d0631c3f3ea42cc1b18ab370a329ce3
1b82cb79cae7801fc9a421369f4b8137
6dceed1647bd865ad94c047d51cd2d6c
63dca80229022f1cba49aea45f05e544
5ce307b736668833c312c2777e74dc45
4574174809567240729a67cc941eabcf
Arid Gopher
5d8cd50066f06f36ed4269b3112d5a11
9b959e61f2aa6fa7ff338f7cddcee23f
6eef7d94285e506ad9e38d3e4f8b8ef3
1d83896525aed2727d341e6341868871
5.182.39.44
84.246.85.127
acs-group.net
gsstar.net
cheaphomeinsurancequotes.net
pctools-limited.com
tara-stokes.com
chloe-boreman.com
criston-cole.com
doctorinforme.com
tophatauc.com
upload999.net
sadie-dunhill.com
archers-lie.net
gmesc.com
upload101.net
360高级威胁研究院