黎巴嫩國家APT組織「黑山貓Dark Caracal」浮出水面

新聞 01-25

隨著現代威脅局勢不斷演進，威脅者也在不斷發展。網路戰爭的障礙持續減少，之前不具備重大進攻能力的國家現在也能構建並廣泛部署多平台的網路間諜活動。

移動平台的APT組織

Lookout 和 EFF 聯合發布的這份報告披露了具備國家級 APT 能力的高產威脅組織「黑山貓Dark Caracal 」，它在多種平台上對全球目標發動攻擊。經觀測發現，該威脅組織一直在使用桌面工具集但將移動設備優先作為主要的攻擊向量，是首批公開的執行全球間諜行動的移動平台的 APT 威脅組織之一。

或屬於由黎巴嫩國家安全局，攻擊目標遍布全球

報告認為「黑山貓Dark Caracal」由位於黎巴嫩首都貝魯特的國家安全局管理。報告指出發現了遍布超過21個國家數千名受害者的數百G 滲透數據。被盜數據包括企業的智慧財產和個人可識別信息。報告披露了90多個和「黑山貓Dark Caracal」相關的 IOC，其中包括11個不同的安卓惡意軟體IOC，26個適用於Windows、Mac 和 Linux 平台的桌面惡意軟體IOC，以及60個基於域名/IP的IOC。

「黑山貓Dark Caracal」的目標包括民族國家一般會攻擊的個人和實體，包括政府、軍事目標、公共設施、金融機構、製造企業和國防承包商。該報告披露的數據和軍事人員、企業、醫療專家、活動分子、記者、律師和教育機構存在關聯的數據。數據類型包括文檔、通話記錄、音頻記錄、加密通信客戶端內容、聯繫信息、文本信息、照片和賬戶數據。

和「行動手冊」存在關聯

Lookout 和 EFF 的聯合調查是在 EFF 公布《行動手冊報告 (Operation Manual Report)》後開展的。《行動手冊報告》說明了針對記者、活動分子、律師以及和哈薩克總統政見不同者；報告說明了可能和某個安卓組件有關的針對台式機器的惡意軟體和技術。經過調查相關的基礎設施和關聯後，團隊認為同樣的基礎設施可能分享於多個威脅組織之間並且用於全新的攻擊活動中。

由這個基礎設施執行的看似無關的攻擊活動表明，該基礎設施由多個組織同時使用。行動手冊很明顯針對的是和哈薩克有關的人員，而「黑山貓Dark Caracal」並未體現出和這些目標或相關目標存在關聯的線索。這表明「黑山貓Dark Caracal」要麼使用要麼管理著這個託管大量傳播廣泛的全球網路間諜活動的基礎設施。

自2007年開始，Lookout 公司就一直在調查並追蹤全球數以億計的設備上發生的移動安全事件，「黑山貓Dark Caracal」是迄今為止該公司發現的最高產的APT 組織之一。另外，Lookout 公司認為報告發現的活動只是「黑山貓Dark Caracal」通過這個基礎設施開展的少量活動。

攻擊模式

黑山貓Dark Caracal的攻擊模式與客戶端的網路間諜的供應鏈類似。手機工具包括植入Lookout的安卓監控軟體Pallas9和一個新的FinFisher樣本。該組織的桌面工具有Bandook惡意軟體和新發現的桌面監控工具CrossRAT，該工具可以感染Windows，linux和OS X操作系統。

最初的攻擊

黑山貓Dark Caracal主要通過社會工程（ Facebook組公告和WhatsApp消息）來黑進目標系統、設備和賬號。在頂層，攻擊者設計了3種不同的釣魚消息，目標是讓受害者進入黑山貓Dark Caracal組織控制的水坑（水坑攻擊）。

圖 1 兩種用來攻擊受害者的安卓惡意軟體基礎設施：將用戶引向水坑伺服器和一個通過偽造的登錄框來接收用戶證書的伺服器

該組織通過水坑（secureandroid[.]info）來傳播Pallas安卓木馬應用，這些下載包括假的消息和隱私相關的應用。

圖2 secureandroid[.]info的應用下載頁

也有黑山貓Dark Caracal組織利用物理訪問來安卓惡意軟體的情況。

圖3 受害者設備中的文本消息

社會工程和魚叉式攻擊

黑山貓Dark Caracal組織使用流行的應用如WhatsApp來傳播釣魚信息，將用戶導向水坑中。

黑山貓Dark Caracal組織的基礎設施使用的釣魚地址看起來很像Facebook, Twitter, Google這樣的著名服務的登錄網關。研究人員發現許多Facebook群組中的含有釣魚網站的標題中都含有Nanys，這些群組見參考文獻2的附錄。

Google已經對這些釣魚活動中做了索引，研究人員相信攻擊者用不同的釣魚伺服器來獲取登錄憑證、劫持賬戶、推送更多的偽造消息來擴大受害者的範圍。

圖4 Google索引的tweetsfb.com活動

黑山貓Dark Caracal對應的Facebook群組對應的釣魚鏈接包括政治主題的新聞，鏈接到假版本的Gmail等主流服務，和含有木馬的WhatsApp等。

圖5 Facebook上的黑山貓Dark Caracal釣魚鏈接

圖6中的4個Facebook個人介紹有點像釣魚組織的活動賬戶。黑山貓組織用假的個人簡介來模擬與受害者的通信，並在將受害者誘導到「Nanys」 Facebook群組或域名secureandroid[.]info前與受害者建立良好的關係（好友、互動）。

圖6 Dark Caracal偽造的虛假 Facebook個人簡介

使用多種工具和不斷發展的基礎設施

報告指出，「黑山貓Dark Caracal」使用移動和桌面平台上的多種工具。「黑山貓Dark Caracal」從暗網上購買或借用這些工具；Lookout 公司在2017年5月發現了「黑山貓Dark Caracal」自定義開發的移動監控軟體 (Pallas)。Pallas 出現在感染木馬的安卓app中。「黑山貓Dark Caracal」還使用了臭名昭著的 FinFisher 惡意軟體。「黑山貓Dark Caracal」大量使用名為 Bandook RAT 的 Windows 惡意軟體，另外還使用了 Lookout 和 EFF 此前並未發現的多平台工具 CrossRAT，能夠針對 Windows、OSX 和 Linux 平台發動攻擊。

「黑山貓Dark Caracal」使用不斷發展的全球性基礎設施。基礎設施的運營人員並非使用傳統的 LAMP 棧（搜索相關基礎設施時會提供一個唯一指紋），而是選擇使用 Windows 和 XAMPP 軟體。Lookout 和 EFF 已發現由行動手冊和「黑山貓Dark Caracal」以及其它威脅組織共同使用的基礎設施。「黑山貓Dark Caracal」的幕後黑手難以確定，因為它使用了多種惡意軟體類型，這個基礎設施還被其它組織所使用。

IoC

釣魚域名