freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

针对叙利亚进行攻击的APT组织黄金鼠最新活动分析
2018-07-17 01:18:35
所属地 天津

黄金鼠(APT-C-27),从2014年11月起至今,该组织对叙利亚地区展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台从开始的Windows平台逐渐扩展至Android平台,杀伤力较大。

        

        经过监测,我发现该组织出现了一个与以前所使用 “ chatsecurelite.us.to ” 相比极其相似的新的域名 “ chatsecurelite.uk.to  ”,除了域名相似以外,还有一个目录特征也尤为一致。

最新的目录如下:

http://chatsecurelite.uk.to/wp-content/uploads/app/y/

http://chatsecurelite.uk.to/wp-content/uploads/2018/android/t/

http://chatsecurelite.uk.to/wp-content/uploads/2018/android/apks/store/

以往该组织的目录特征,可以发现具有一定的相似性。

image.png

从主站的界面也可以看出几乎一致
image.png

此前该组织的首页

image.png

下图为近期较全的样本列表

image.png

其中有一个阿拉伯语书写的样本名实际为更新offcie for mobie

image.png从样本方面,启动后均会要求激活设备管理器,若设备是root用户,启动后基本会请求Root权限。这也是一些android木马通用的手段。

image.png

点击激活设备管理器后,APP会退出,并过一会后,图标会被隐藏。

对其中几个样本进行分析后(还没看完),发现大体框架一致,且与此前该组织Android木马的代码具有一定的相似性。

Audio开头的是录音相关

Camera是拍照

CLL是通话记录

File开头是文件操作类

GPS开头是位置监控

Packageinformation是获取用户已安装的包

SMS是获取短信

Net开头的为网络行为

Packet和protocol是解析控制指令

image.png

回连C&C

image.png


ioc:

6296586cf9a59b25d1b8ab3eeb0c2a33

f59cfb0b972fdf65baad7c37681d49ef

c741c654198a900653163ca7e9c5158c

5de80e4b174f17776b07193a2280b252

cf5e62ebbf4be2417b9d3849c3c3f9c9

f0d240bac174e38c831afdd80e50a992


download

http[:]//chatsecurelite.uk.to/wp-content/uploads/app/y/

http[:]//chatsecurelite.uk.to/wp-content/uploads/2018/android/t/

http[:]//chatsecurelite.uk.to/wp-content/uploads/2018/android/apks/store/


C&C:

82[.]137.255.56

# 威胁情报 # 黄金鼠
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者