卡巴斯基詳解「ZooPark」網路間諜活動 目標瞄準中東國家Android用戶

「用指尖改變世界」

在上周四（5月3日），來自卡巴斯基實驗室（Kaspersky Lab）的安全研究人員通過一篇分析報告向我們介紹了一起代號為「ZooPark」的網路間諜活動，並且將其描述為一種高級持續性威脅（Advanced Persistent Threat，APT）。

APT是指網路犯罪集團以竊取核心資料為目的，針對目標受害者所發動的網路攻擊和侵襲行為，是一種蓄謀已久的「惡意商業間諜威脅」。研究人員表示，ZooPark APT的開始時間可以追溯到2015年，並且一直持續至今。

ZooPark APT背後的運營團隊被認為是一個新的網路間諜組織，在過去的三年里一直專註於將位於中東地區國家的Android設備用戶作為攻擊目標，受害者主要分布於埃及、約旦、摩洛哥、黎巴嫩和伊朗等多個國家。

在這起已持續長達三年時間的網路間諜活動中，該組織還對其所使用的惡意軟體進行了多次更新，而每次更新都會引入新的功能。卡巴斯基實驗室將惡意軟體標識為四大版本（V1到V4），其中V4是在2017年部署的最新版本。

從技術角度來看，ZooPark APT的發展隨著惡意軟體的更新展現出顯著進步：V1和V2都只具備簡單的間諜軟體功能；V3則幾乎不同於前兩個版本，它的源代碼似乎借鑒了另一款商品化的間諜軟體Spymaster Pro；V4進行了重大改版，構建在V2之上，並且發展成為了一款高度複雜化的間諜軟體。

研究人員表示，ZooPark APT背後的運營團隊主要使用Telegram和「水坑攻擊（Watering Hole Attack）」來作為感染媒介。後者是一種常見的黑客攻擊方式，是指攻擊者通過分析目標受害者的網路活動規律，以識別出他們通常會訪問的網站，然後通過尋找漏洞來入侵這些網站並部署惡意代碼，以等待在目標受害者訪問這些網站時發動攻擊。

卡巴斯基實驗室的研究人員在ZooPark活動中發現了多個遭到入侵的新聞網站，在目標受害者訪問這些網站時會被重定向到一個下載惡意應用程序的網站，最終達到傳播惡意軟體的目的。研究人員在活動中觀察到了一些主題，包括「庫爾德斯坦公投（Kurdistan referendum）」、「電報群組（TelegramGroups）」和「Alnaharegypt news」等。

Version 1.0 - 2015年

惡意軟體的第一個版本代碼非常簡單，所使用的證書自2015年起生效。偽裝成了官方的「電報（Telegram）」應用程序，一種跨平台即時通信軟體。只具備兩個最基本的功能——從通訊錄竊取聯繫人信息以及竊取受感染設備上的詳細信息。

Version 2.0 (2016) - 輕量級間諜軟體

第二個版本與第一個版本相似，主要區別在於包含了新的間諜功能，如竊取GPS定位信息、SMS消息、通話記錄和一些其他的信息。

對於這個版本，每個示例都包含一個硬編碼配置，其中包含它的命令和控制（C&C）伺服器地址和在請求中使用的變數。

Version 3.0 (2016) - 商業分支

第三個版本存在一些獨有的特性，它的源代碼與另一款商品化的間諜軟體Spymaster Pro有很多相似的地方，主要區別在於ZoopPok運行團隊使用了自己的C&C伺服器。

Version 4.0 (2017) - 現代間諜軟體

ZoopPok運營團隊放棄了由商業分支產生的V3版本，並在V2版本的基礎上進行大量的改進和更新。第四個版本能夠竊取更多的信息，這包括瀏覽器數據（如搜索歷史記錄）、剪貼板數據和按鍵記錄。尤其應該注意的是按鍵記錄，這意味著該惡意軟體已經能夠竊取由任何應用程序記錄的任何類型的憑證，如任意文件/文件夾、獲取照片/視頻/音頻、捕捉截圖/屏幕記錄以及其他第三方應用程序的數據。

默認目標應用程序列表包括Telegram、WhatsApp、IMO和Chrome，但值得注意的是，這個列表可以通過惡意軟體的配置文件進行擴充。

此外，第四個版本還實現了一些後門功能，這包括Shell命令執行、發送SMS消息和撥打電話。

卡巴斯基實驗室推測，最新版本可能是從專業的監控工具供應商那裡直接購買的。因為這個版本實現了從簡單代碼功能到高度複雜化惡意軟體的飛躍，而從之前版本的功能來看，ZoopPok運營團隊並不具有這樣的開發能力。

這並不令人意外，因為這些監控工具的市場正在不斷增長，尤其是在各國政府中越來越受歡迎，在中東地區已有數個這樣的案例。此外，更多地選擇移動平台來開展網路間諜活動也成為了一種必然的趨勢。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！