概述
2021年2月,奇安信威胁情报中心移动安全团队在移动端高级威胁分析运营过程中,发现APT组织“透明部落”新近活动采用的移动端Tahorse RAT出现新变种。Tahorse RAT是APT组织“透明部落”此前基于开源的Ahmyth远控定制生成,于2020年8月25日被我们进行命名披露。此次Tahorse RAT变种主要去掉了漏洞的使用,但其恶意功能保持不变,部分变种还增加了Google提供的FireBase能力实现云控制,目前未发现此恶意代码对国内有影响。
2020年8月,奇安信威胁情报中心移动安全团队与安全厂商卡巴先后披露了APT组织“透明部落”在移动端的攻击活动。通过关联分析,我们发现此次Tahorse RAT新变种样本出现在被披露后的第二周;通过与2020年7月印度陆军禁用的89款APP名单比较发现,新变种应用均避开了禁用的APP名单,伪装成新的社交应用进行传播,甚至直接伪装成印度陆军新闻应用进行攻击,可见该组织具备较快的更新响应能力。
“透明部落”是一个来源南亚且具有政府背景的APT组织,其长期针对周边国家和地区的军队和政府机构实施定向攻击。为了防止威胁的进一步扩散,奇安信威胁情报中心对该安全事件进行详细分析和披露,以提醒各安全厂商第一时间关注相关的攻击事件。
攻击方式
“透明部落”组织此次移动端上的攻击主要伪装成AF News、WhatsApp、Chat Bolt这三款没有出现在印度陆军禁用名单的应用,以及伪装成系统设置相关应用。
APK MD5 | 时间 | 图标 | 伪装形式 | FireBase |
976743edf6bcc12bb0349b3ea11aab2f 579b9c358475b9e45d91a06df58493d6 | 20-12-26 21-01-03 | Chat Bolt | no | |
02a121aea1bfb7b0684462b112c82552 | 21-01-20 | AF_News | no | |
cc4d7b39dec5335e209f80a3c212a6ba bf5cc683a34f697affec1aef221ccb30 bb8e05ec8b15efa2f9d5b66de1a7eb1d | 20-12-02 21-01-26 21-02-02 | no | ||
f6b028ccc8a872ad5eb3d9a36020adac 2d73bb3ac2625fda94e5da8d8e79cae3 | 20-09-15 20-09-15 | imo | yes | |
d2a9b362fdf56c10bb89c8164a779601 | 20-09-06 | 系统设置 | no |
其中伪装的AF News 为印度陆军所使用的新闻应用,表明了攻击带有非常明确的目标为印度陆军。
此外伪装的WhatsApp与Chat Bolt社交应用,运行后显示的登陆界面电话区号“+91”,也表明了攻击针对的是印度。
攻击样本分析
“透明部落”组织此次攻击活动采用的是2020年8月被我们命名的Tahorse RAT变种。分析发现到被披露后的第二周,该组织对Tahorse RAT进行了更新迭代继续进行新攻击活动,但其恶意功能保持不变。
Tahorse RAT是APT组织“透明部落”基于开源的Ahmyth远控进行定制修改生成的,修改后其现支持有八种远程指令。
一级指令 | 二级指令 | 字段 | 功能 |
x000fm | ls | path | 获取指定目录目录文件列表信息 |
dl | path | 上传指定文件到C2 | |
x000adm | 未实现 | ||
sms | ls | 获取短信列表信息 | |
sendSMS | to | 控制发送指定短信内容给指定的手机号码 | |
sms | |||
deleteSMS | to | 删除包含指定内容串的短信 | |
sms | |||
x0000cl | 获取通话记录信息 | ||
x0000cn | 获取联系人信息 | ||
x0000mc | au | sec | 录音,持续sec秒,存为sound.mp3 |
mu | 停止录音并上传,删除录音文件 | ||
muS | 开始录音 | ||
x0000lm | 获取当前地理位置经纬度信息 | ||
x0000upd | path | 到指定的url下载apk升级当前apk |
此次Tahorse RAT变种出现了下面4点变化:
1.去除开源项目AutoStarter对国内主流品牌手机的定制优化模块,仅针对小米和VIVO进行了一定的适配。
2.去除qu1ckr00开源项目中利用CVE-2019-2215漏洞的ELF模块。
3.去除之前释放的伪装成的数款社交软件的子包APK方式,直接伪装成不在印度陆军禁用名单的新目标。
4.增加了Google提供的FireBase能力实现云控制功能,进行云下发唤醒核心远控Service。并结合下面的token操作,可以精确到某一个设备进行操作。
接收FireBase消息,进行响应弹出云下发的假通知消息。
实时发送设备Token给控制端,便于控制端进行精确控制每一个具体终端执行行为。
攻击组织溯源分析
基于奇安信威胁情报中心移动安全团队的分析系统和红雨滴APT样本关联系统的追踪分析,奇安信威胁情报中心判断本次攻击活动的幕后组织疑似为“透明部落”组织。主要依据如下:
“透明部落”组织在已经披露的历史攻击行为中,存在通过PC端多次对印度陆军投放诱饵文档的攻击;而此次移动端攻击也出现针对印度陆军投放的诱饵应用,攻击方式及目标与PC端保持一致。
该移动端RAT仅在“透明部落”组织出现过, 且部分C2与“透明部落”组织出现重叠。
总结
“透明部落”组织近期增加了移动端上持续投入的迭代升级攻击,也再一次印证了军事实战的升维,网络空间作战行动已是常态化、多样化。网络钓鱼可谓老生常谈,却仍是攻击者屡试不爽的惯用手法,显然还是最有效的战术之一。应对这些攻击不仅需要安全厂商的各类安全产品的防护和到位的安全服务支持,更离不开企业对内部自身安全规程及企业内部员工安全防范意识的持续建设。针对普通用户如何避免遭受移动端上的攻击,奇安信威胁情报中心移动安全团队提供以下防护建议:
在正规的应用商店下载应用。国内的用户可以在手机自带的应用商店下载,国外用户可以在Google Play下载。不要安装不可信来源的应用、不要随便点击不明URL或者扫描安全性未知的二维码。
移动设备及时在可信网络环境下进行安全更新,不要轻易使用不可信的网络环境。
对请求应用安装权限、激活设备管理器等权限的应用要特别谨慎,一般来说普通应用不会请求这些权限,特别是设备管理器,正常的应用机会没有这个需求。
确保安装有手机安全软件,进行实时保护个人财产安全;如安装奇安信移动安全产品。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对此类攻击的精确检测。
附录
IOC
APK MD5 |
02a121aea1bfb7b0684462b112c82552 |
bb8e05ec8b15efa2f9d5b66de1a7eb1d |
f6b028ccc8a872ad5eb3d9a36020adac |
579b9c358475b9e45d91a06df58493d6 |
976743edf6bcc12bb0349b3ea11aab2f |
bf5cc683a34f697affec1aef221ccb30 |
cc4d7b39dec5335e209f80a3c212a6ba |
2d73bb3ac2625fda94e5da8d8e79cae3 |
d2a9b362fdf56c10bb89c8164a779601 |
C2 | C2对应ip |
tryanotherhorse.com | 185.165.168.35 |
212.8.240.221 | |
178.132.3.230 | |
www.iwillsecureyou.com | 89.45.67.50 |
参考信息
- https://www.secrss.com/articles/24995
- https://securelist.com/transparent-tribe-part-2/98233/
- https://www.businesstoday.in/latest/trends/full-list-of-89-mobile-app-banned-for-army-soldiers/story/409396.html
- https://www.businessinsider.in/tech/apps/news/checkout-the-list-of-89-apps-banned-for-indian-army-soldiers/articleshow/76865942.cms