官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
背景介绍
2017年3月15日奇安信红雨滴高级威胁分析团队已经对APT-C-23做了详细的揭露,APT-C-23组织的目标主要集中在中东地区,尤其活跃在巴勒斯坦的领土上。2016年5月起至今,双尾蝎组织(APT-C-23)对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台主要包括Windows与Android。
Android恶意程序主要伪装成两类应用程序:一类为聊天工具,另一类为软件升级工具。其传播方式主要有两种:第一种方法是通过短信,其中包含指向Google云端硬盘的网址或托管APK的C&C域名,第二种方法是将他们的应用程序上传到第三方应用商店。其中Android版本当时已经更新了两个版本,类名对应的功能如下图。
近期Check Point发现了APT-C-23使用了带有政治主题的诱饵PDF文件,使用了新的C2frowtisice[.]club 。
经过我们分析,新样本在原有的基础上功能进行了增加,代码结构、控制指令等都进行了巨大的改变,程序运行后会显示带有政治主题的诱饵PDF文件,而随着巴以冲突的持续升温,APT-C-23再次更新其目的也显而易见。
下图为样本运行以后带有政治主题的PDF诱饵文件:
样本分析
APT-C-23新样本通过仿冒Acrobat更新,并通过显示含有政治主题的诱饵PDF文件,诱骗用户安装使用;恶意软件主要目的为窃取用户手机信息,并对用户手机进行远程控制,新程序继承了APT-C-23下发控制指令的模式,实现了两种向应用推送消息的方式,FCM和SMS通信,从而可以更加稳定的接收到控制指令;程序运行以后会隐藏自身图标,从而保护自身不被卸载;程序会通过两种方式下发控制指令,两种方式下发的指令其功能类似,例如:开始对用户手机进行录音,上传用户手机短信,上传用户手机通讯录,上传用户手机文件等操作。
恶意程序运行界面:
程序运行后隐藏自身图标:
APT-C-23实现了两种向应用推送消息的方式,FCM和SMS通信,从而可以更加稳定的接收到控制指令。
通过SMS的控制指令下发
SMS控制指令:
| 控制指令 | 指令含义 | 控制指令 | 指令含义 |
|---|---|---|---|
| #.= | 开启录音,并上传录音 | 52115 | 启用更新通知 |
| #,, | 停止录音 | 52116 | 禁用更新通知 |
| 52101 | 启动应用程序 | 52117 | 启用新的URL |
| 52102 | 关闭应用程序 | 52118 | 上传手机文件 |
| 52103 | Enable Mobile Data | 52119 | 获取控制指令 |
| 52104 | Disable Mobile Data | 52120 | 获取录制的内容 |
| 52105 | 卸载应用程序 | 52121 | 未启用功能 |
| 52106 | 删除录音文件 | 52122 | 获取短信通信记录 |
| 52107 | 开启WiFi | ||
| 52108 | 重启录音功能 | ||
| 52109 | 取消更新 | ||
| 52110 | 获取用户手机已安装程序信息 | ||
| 52111 | 禁用第一次更新 | ||
| 52112 | 启用第一次更新 | ||
| 52113 | 获取所有短信内容 | ||
| 52114 | 获取手机通讯录 |
通过短信下发指令:
指令:#.=
指令:#,,
指令:52101
指令:52102
指令:52103
指令:52104
指令:52105
指令:52106
指令:52107
指令:52108
指令:52109
指令:52110
指令:52111
指令:52112
指令:52113
指令:52114
指令:52115
指令:52116
指令:52117
指令:52118
指令:52119
指令:52120
指令:52121
指令:52122
重要代码截图
获取用户短信:
获取用户手机通讯录:
上传URL:https://frowtisice.club/Margarita
通过FCM的控制指令下发
| 控制指令 | 指令含义 |
|---|---|
| Eduardo | 检测更新 |
| JadisWalsh | 申请权限 统计短信、通讯录 |
| EzekielMonroe | 检测录音文件是否存在 |
| LizzieHenry | 开始录音并上传录音 |
| CarlRhee | 开启WiFi |
| RositaPorter | 开启WiFi |
| BethAaron | 对用户手机呼叫转移 |
| HershelJones | 无实际功能 |
| AndreaGrimes | 获取用户手机短信、获取用户通讯录 |
| Stookey | 上传手机文件 |
| SimonBlake | 停止录音并上传文件 |
| OliviaKal | 停止录音 |
| FrancineGary | 停止录音 |
| TanyaSubramanian | 仿冒Facebook、WhatsApp、GooglePlay、Messenger、Instagram更新 |
| update | 仿冒Facebook、WhatsApp、GooglePlay、Messenger、Instagram更新 |
| Michonne | 卸载程序 |
| TobinSpencer | 监控电量变化 |
| LoriHarrison | 上传手机固件信息 |
| MaggieChambler | 获取连接状态 |
| SashaGreene | 发送申请状态 |
| Barbara | 电话呼叫转移 |
| JessieMonroe | 电话呼叫转移 |
| LydiaAnderson | 手机回到主界面、可隐藏APP图标、设置隐藏时间等 |
| DeannaAnderson | 上传录音 |
| PatriciaKent | 上传手机各种文件 |
| DianneJared | 计算空间 |
| DeniseAnderson | 未启用功能 |
| TammyJed | 未启用功能 |
| MagnaRose | 未启用功能 |
| AmyLuke | 上传/android/main/recordHis下文件 |
| KarenOscar | 未启用功能 |
| AratBertie | 未启用功能 |
| TamielBrion | 未启用功能 |
| SophiaAxel | 卸载程序 |
| CyndieSamuels | 删除文件 |
| LauraPeletier | 设置响铃模式 |
| GoTesna | 未启用功能 |
| MariDuncan | 未启用功能 |
指令:Eduardo
指令:JadisWalsh
指令:EzekielMonroe
指令:LizzieHenry
指令:CarlRhee
指令:RositaPorter
指令:BethAaron
指令:HershelJones
指令:AndreaGrimes
指令:Stookey
指令:SimonBlake
指令:OliviaKal
指令:FrancineGary
指令:TanyaSubramanian
指令:update
指令:Michonne
指令:TobinSpencer
指令:LoriHarrison
指令:MaggieChambler
指令:SashaGreene
指令:Barbara
指令:JessieMonroe
指令:LydiaAnderson
指令:DeannaAnderson
指令:PatriciaKent
指令:DianneJared
指令:"DeniseAnderson
指令:TammyJed
指令:MagnaRose
指令:AmyLuke
指令:KarenOscar、AratBertie、TamielBrion
指令:SophiaAxel
指令:CyndieSamuels
指令:LauraPeletier
指令:GoTesna、MariDuncan
重要代码截图
遍历手机文件:
删除临时文件,随机释放空间,为上传文件做准备:
获取短信:
获取通讯录:
总结
中东地区沟通了欧亚非,地理位置十分重要,而由于石油资源、宗教信仰、地缘政治、历史原因等问题又常年战乱不断。随着手机的普及与移动互联网的发展,移动平台已经成为了APT攻击的新战场。APT-C-23常年持续对巴勒斯坦多个重要领域进行攻击,而此次在巴以双方摩擦不断的情况下,APT-C-23移动端再次更新,并且使用了带有政治主题的PDF诱饵样本,诱骗用户安装使用。所以移动APT的更新速率以及实时性值得我们关注,我们也会时刻关注APT-C-23 Windows 与 Android最新变种的出现。
IOC
| 样本Hash: |
|---|
| 8B48CEC7CB30FF0F02B06C51AA15F24F |
| 9a8bb68564c8cd38e47a91c816776a84d78dfe5bd35cd014400e87cb76ca9440 |
| cf2d7545b1f5ec57142727f795e07e85b84cbfe9a8b9f75aa5219495c746d853 |
| e7d7f110369a67dd1129c5fbd38daeadcc01c2ab3ced98e2a3135283678e1914 |
| 461e9c8fb2b0a049df3b5fccd9c453c65d30ee02699f715da09796a5bb236f7c |
| 0537cdd971843545ce569415226dfabd1053a149a2586f163b58f7cb46e80ac5 |
| 16327e5fbb60bc8f57ba2bbfe02c0464ce0755312a10f566cd7123cf978160d3 |
| 2240c56c98c90acc0cbc58ba0ea6f7d78bb2f80d97f5c23e2a6e0ba5e2db4960 |
| 46976081c1bcec4daa9701fbe373010c0bcb17463359a91556f09339522b6a13 |
| 1995f315d0431141b25dd2962a2b517bc27d0ba694fddf982d970f512f784945 |
| e0e1addc23a032b538a344498e862b808e767ce8bed9412dd8990d00b1d64b34 |
| 79947899241dde6bb6c3b82d8a0841928fa25333909907ddafeddcc987d37fb9 |
| d6a7c537a3101c38d0bafdcde685ad97ebc15ecac6bfa6eacba80b933ae8a151 |
| fe074e77cf64227b6f79d08cae573dd8d48e32e72abf8482a1a4d7a6e42b4f2d |
| 56f13b40f115af5114445d6ea04e5c00b19302ec4425e1995e423f0cd4cc3cf0 |
| 14b739028e1e85a95cd2efc4019fdae9a49622afe07d8ef542634b1908baedee |
| 51e2630f942578d81ed000aa8a7b5ff7e19608a53323092ba72bc3b686614e25 |
| adcc3186e92f9ffe6277443b918cef997f2debbd84f7ccba974ab89bedfe90a3 |
| 76962d334b894349a512d8e533c8373b71389f1d20fd814cd8e7ecc89ed8530a |
| 7e4a5c61a6d7718381884ac7675f335282169641518379ea921731cf08c95b49 |
| 4b5dafd98fdffe2736787281db233f8f1e904b05e70acbfa2358cb901269d039 |
| 1702b7038a1a1dc514054d3070939b4c1fabf3b51a0192d64dcd4f934c27b3ca |
| c38d2a739d9a4e7df51176c95abc43ba606928c5d88b3ebcd7202dbaa0499e35 |
| 86e453b251707eb2b73a3f547d7ed34af2b850fd9d319143c22778dd73066901 |
| 91cbeb6b02575423621e0a0871efca3b6d25004ce9c1700b97748e2d330b60fb |
| 2ff47bb5ce6baacba85047c43afe1f3a7f034f1dd547c385394055afa4ba64bc |
| 4ebb385b0bf460d8561c39af8b69144bfe8c7a4d8607b157784674de653b9a05 |
| 6bdf6f1d5a8a4c94589ab9f1d40db7e7710bae82f143209f058b6e0b8f25884d |
| 6665a99e53b2d28497e4edba4c67b8e587b9291d524c737235c69379a00190ae |
| 183ec1960e40b0831fbc47bbd87de530a1f92de02b1a60eb91771ef5d7dd016b |
| 4842cff6fc7a7a413ceed132f735eee3121ffb03f98453dae966f900e341dd52 |
| cc40a67b3844116c594fd192055d62498f9907d46cc84afd6bfaefa3b6b665a9 |
| 27d89d88db6fe1365e2c1ded2e8af805c353d741bfd45023e9f67e2cc8c4d28e |
| 1a9d5717622111e73cd11617bf29b9e8e9c50a83b90c85dee909faad24684585 |
| 7752f5662d904a261eb57a948278d0804efef827c1bec6337e6b210a00635a27 |
| ddfe29e690f8ecd08c6efd304ac89283967b63e9e0ea508d8b69ab4a5365f038 |
| bdea751c2e106a4f83d8ba32b1f193a3aa65bf3aba4405e025887bb66cb7a0c3 |
| 371f13e4dacb0a740752a2352f09804bae99887b833c6989feb211702b3679cb |
| 93a21428286602cfe02380a33411cb9d25004f627c685b4363e9ffb3baa5f201 |
| dd21373738175567c92de2031e9efce761ba8d1fe6c6e04e69648e7528eed309 |
| d16b235d931d4eecb38365af538be023bebdb547f8aadf69de4aadfabc65620a |
| 8d184f24277ace3dd55811c3ed5b810eaa34a1c9bff0de2a15eb996134e9e241 |
| 1b3fddc07f524b22559a6c6688ff90fd0e7f035a5ac36237be5e28a10887e928 |
| C&C |
|---|
| frowtisice.club |
参考信息
https://www.freebuf.com/articles/system/129223.html
https://www.jianshu.com/p/702ddf8dd51c
*本文作者:奇安信威胁情报中信,转载请注明来自FreeBuf.COM
- 0 文章数
- 0 关注者