叙利亚电子军(Syrian Electronic Army)是一个支持叙利亚领导人巴沙尔·阿萨德的黑客组织。

整理大致战绩如下：

2013年8月27日，叙利亚电子军攻击《纽约时报》和Twitter。

2014年1月1日，叙利亚电子军侵入美国微软公司旗下网络通讯软件Skype的多个社交平台账户，发布讽刺微软协助美国政府监视民众通信隐私的消息。

2015年06月10日，证实叙利亚电子军成功入侵美国陆军官网

2016年，美国司法部(DoJ)对外公开了两起对三名叙利亚电子军(SEA)黑客嫌疑人发起的诉讼案。

在此之后，该黑客组织看似保持低调，但实际上其并没有停止活动：它改变了战术，现在为了达到监视的目的，而向阿萨德政权的反对者提供定制的Android恶意软件。

这款Android恶意软件名为SilverHawk，该恶意软件被认为自2016年中期开始运营，能够录制音频，拍照，下载文件，监控联系人，跟踪位置等。

下面是为了投放SilverHawk而采取的伪装应用占比图，从图可以看出，系统更新程序，Telegram更新程序和WhatsAPP更新程序占主流三大块。

以上应用会通过假冒网站或者入侵的网站进行投放，存在opendir

样本通信协议特征很明显，字段清晰

指令列表如下

在SilverHawk问世前，该组织一直在使用一款名为AndroRAT的安卓木马进行攻击，所以在这两个家族之间从界面到硬编码字段都具有一定的相似性

除了安卓马之外，作为老牌的赫赫有名的鱼叉攻击社工大军，当然还会通过鱼叉攻击进行恶意文档投放。

利用的木马有

NjRAT，H-Worm Plus，自定义的 .NET 下载者和DarkComet

不出意外，应该是通过宏请求通过pastbin进行脚本获取，并执行

pastbin id：MEDOAAAA

关联分析

通过域名和PDB信息，Th3 Pr0，可以关联到之前美国通缉案中的其中一名选手。

从样本和文档中的各类ID中，可以看到特别独有的起名风格，怀疑是成员

结合这些元素，可以组成一幅成员名单列表，右边那个ID可以玩玩

与叙利亚电子军攻击相关的分析文章

360 Threat Intelligence 

https://ti.360.net/blog/articles/analysis-of-apt-c-27/ • https://blog.360totalsecurity.com/en/the-sample-analysis-of-apt-c-27s-recent-attack/ 

Kaspersky Labs 

https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/08074802/KL_report_syrian_malware.pdf • https://securelist.com/the-syrian-malware-house-of-cards/66051/ 

FireEye 

https://www.fireeye.com/blog/threat-research/2014/08/connecting-the-dots-syrian-malware-team-uses-blackworm-for-attacks.html 

EFF 

https://www.eff.org/document/quantum-surveillance-familiar-actors-and-possible-false-flags-syrian-malware-campaigns 

Citizen Lab 

https://citizenlab.ca/2014/12/malware-attack-targeting-syrian-isis-critics/ https://issuu.com/citizenlab/docs/maliciously_repackaged_psiphon

虽然PPT没公开样本，但通过里面一些关键字以及附录的文章还是可以找到很多东西玩的，毕竟老美的敌人就是我们的朋友