APT新動向 | 揭秘黃金鼠組織的三次攻擊行動
日前,360威脅情報中心追日團隊發布了黃金鼠組織(APT-C-27)APT研究報告。
攻擊平台從開始的Windows平台逐漸擴展至Android平台,截至目前追日團隊一共捕獲了Android平台攻擊樣本29個,Windows平台攻擊樣本55個,涉及的C&C域名9個。
2016年6月,追日團隊首次注意到該攻擊組織中涉及的PC端惡意代碼,並展開關聯分析,但通過大數據關聯分析發現相關攻擊行動最早可以追溯到 2014年11月,並關聯出數十個惡意樣本文件,包括PC和Android平台。此外,Android和PC平台的惡意樣本主要偽裝成聊天軟體及一些特定領域常用軟體,通過水坑攻擊方式配合社會工程學手段進行滲透,向特定目標人群進行攻擊,進一步結合惡意代碼中誘餌文件的內容和其他情報數據,追日團隊判定這是一次以竊取敏感信息為目的的針對性攻擊,且目標熟悉阿拉伯語。
2015年7月,敘利亞哈馬市新聞媒體在Facebook上發布了一則消息,該條消息稱帶有「土耳其對敘利亞邊界部署反導彈系統進行干預,詳細信息為http://www.gulfup.com/?MCVlNX」的信息為惡意信息,並告誡大家不要打開信息中鏈接,該鏈接為黑客入侵鏈接,相關C&C為31.9.48.183。哈馬市揭露的這次攻擊行動,就是追日團隊在 2016年6月發現的針對敘利亞地區的APT攻擊。從新聞中追日團隊確定了該行動的攻擊目標至少包括敘利亞地區,其載荷投遞方式至少包括水坑式攻擊。
360威脅情報中心將APT-C-27組織命名為黃金鼠,主要是考慮了以下幾方面的因素:一是該組織在攻擊過程中使用了大量的資源,說明該攻擊組織資源豐富,而黃金鼠有長期在野外囤積糧食的習慣,字面上也有豐富的含義;二、該攻擊組織通常是間隔一段時間出來攻擊一次,這跟鼠有相通的地方;三是黃金倉鼠是敘利亞地區一種比較有代表性的動物。
三次攻擊行動
圖
該攻擊組織相關重點事件時間軸
註:
1)
圓形藍色里程碑:相關典型後門首次出現時間
2)
正方形灰色里程碑:相關典型後門再次出現時間
3)
三角形深藍色里程碑:相關C&C出現時間
4)
菱形黑色里程碑:重要事件出現的時間
| 攻擊行動 | 活躍時間 | 主要載荷 | 主要C&C |
|---|---|---|---|
| 第一次 | 2014.10 – 2015.7 | njRAT、Downloader | bbbb4.noip.me 31.9.48.183 |
| 第二次 | 2015.8 – 2016.11 | DarkKomet、VBS Backdoor、AndroRAT | basharalassad1sea.noip.me 31.9.48.183 |
| 第三次 | 2016.12 – 至今 | Android RAT、定製RAT、JS Backdoor、JS後門 | 82.137.255.56 telgram.strangled.net chatsecurelite.us.to |
表 三波攻擊行動
第一次攻擊行動集中在 2014 年 10 月到 2015 年 7 月
,該期間攻擊組織主要使用開源遠控njRAT和Downloader進行攻擊,攻擊載荷並不複雜,使用的 C&C 主要為 bbbb4.noip.me 和 31.9.48.183。但是 2015 年 7 月,該組織使用的C&C(31.9.48.183)被敘利亞哈馬市新聞媒體在Facebook曝光。
第二次攻擊行動集中在 2015 年7 月到 2016 年 11 月
,在這期間攻擊者使用了多種不同類型的攻擊載荷。在2015年8月攻擊者開始使用Delphi編寫的DarkKomet遠控,此外,在2015年11月針對Android操作系統的攻擊開始出現,並使用了AndroRAT惡意程序,期間使用的C&C主要是31.9.48.183,但是到了2016年1月,該組織開始使用新的域名basharalassad1sea.noip.me作為C&C伺服器。另外,本次攻擊行動具有代表性的就是2016年10月開始使用Facebook進行水坑攻擊,並使用全新的VBS後門作為攻擊載荷。第三次攻擊行動集中在2016年12月至今
,該期間攻擊組織表現尤為活躍,使用的攻擊載荷變得更加豐富。在2017年4月使用了telgram.strangled.net釣魚頁面進行水坑攻擊,並且根據telegram升級程序的步驟製作RAT進行攻擊,攻擊平台包括PC與Android,C&C伺服器也改變成82.137.255.56
。
此外,在2017年5月,首次出現了JS後門,並結合前期的VBS後門、RAT同時攻擊。在這次攻擊中需要引起重視的是,在2017年9月,攻擊者開始使用域名chatsecurelite.us.to替代原有域名telgram.strangled.net進行水坑攻擊,並著重針對Android平台進行攻擊,開發了一系列不同偽裝形式的RAT,最近兩個月,攻擊者基本上都只對Android平台進行攻擊。總結
通過對該組織相關TTPs(Tools、Techniques、Procedures)的研究分析,以及結合以往跟進或披露的 APT 組織或攻擊行動,總結出以下幾點:
1)移動端APT事件逐漸增多
以往披露的APT事件主要是針對Windows系統進行攻擊,現今由於Android系統、APP的普及與發展,帶動了Android手機等智能終端用戶量的持續攀升,從而導致黑客組織的攻擊目標也逐漸轉向移動端。從追日團隊捕獲的樣本也可以知道,攻擊者顯示從Windows平台逐漸過度到Android平台,並且在近期攻擊者主要使用Android樣本進行攻擊,且更新速率很快,從而變相說明該組織後期主要會基於Android系統進行攻擊。
2)攻擊技術由淺入深
技術分析顯示,該組織初期使用的特種木馬技術並不複雜,主要使用開源的njRAT。但後期版本中,攻擊者開始使用定製RAT,此種RAT需要通過層層釋放執行惡意功能,於此同時,攻擊者也開始使用VBS、JS腳本、Android RAT進行全方位攻擊。綜合來看,該組織的攻擊周期較長攻擊目標之明確,並且攻擊過程中使用了大量資源,都表明這不是一個人或一般組織能承受的攻擊成本。
3)攻擊組織極可能來自阿拉伯國家
通過前面分析我們知道PDB路徑有「Th3Pro」、「aboomar」等字元串,文檔作者Raddex,IP信息獲取的「aboomar」、「abo moaaz」計算機名,這些名字(「aboomar」、「abo moaaz」)常常出現在阿拉伯地區。並且通過部分樣本中使用的字元串及文件名(如「??? ?????? ??? ???????」)可以知道攻擊者熟悉阿拉伯語。
點擊閱讀原文,查看報告全文
*本文作者:360企業安全,轉載請註明來自 FreeBuf.COM
TAG:FreeBuf |