10月30, 2020

肚脑虫组织( APT-C-35)疑似针对巴基斯坦军事人员的最新攻击活动

概述

肚脑虫组织(APT-C-35),又称Donot,是一个针对克什米尔地区相关国家的政府机构等领域进行网络间谍活动,以窃取敏感信息为主的攻击组织。该组织具备针对Windows与Android双平台的攻击能力。该组织的攻击活动最早可追溯到2016年,近年来该组织活动频繁不断被数个国内外安全团队持续追踪和披露。

今年4月,我们发布了一篇《肚脑虫组织(APT-C-35)针对巴基斯坦的攻击活动》揭露了肚脑虫组织利用钓鱼网站和社交媒体进行网络攻击活动。此后,我们也持续针对该组织样本进行了监控。近期,我们发现该组织攻击样本与早期样本存在明显的变化,此次攻击活动中使用的攻击样本中字符串使用了Base64进行编码,并且与CC进行通信的方式也发生了较大的改变,攻击目标为克什米尔周边地区,受害者疑似包含军事背景人员。

载荷投递

该组织载荷投递方式为钓鱼网站和社交工具,流程如下图所示。

image.png

图1 攻击流程

钓鱼网站

肚脑虫组织本次攻击活动使用的钓鱼网站与我们4月份揭露的钓鱼网站相同,该钓鱼网站伪装成巴基斯坦流行的在线交友网站LoveHabibi。LoveHabibi是一个在线交友网站,只提供了网页版应用;而钓鱼网站无实际功能,并且提供了相关APK的下载地址,该APK实际为肚脑虫组织专用远控工具。

image.png

图2 LoveHabibi交友网站

image.png

图3 仿冒LoveHabibi的钓鱼网站

目前该钓鱼网站使用了ZeroSSL证书颁发机构创建的免费证书,该证书有效期从2020/9/14 到2020/12/14.

image.png

图4 钓鱼网站证书信息

除了以上钓鱼网站之外,我们还发现了另一个钓鱼网站,该钓鱼网站与我们早期发布的报告《肚脑虫组织(APT-C-35)移动端攻击活动揭露》中揭露的钓鱼网站风格一致。

image.png

图5 钓鱼网站

社交工具

通过分析肚脑虫组织恶意应用下载链接对应的网页源码,我们发现该网站使用了开放图谱协议,该协议允许任何网页成为社交图的丰富的对象。恶意应用下载链接网页源码中使用了Facebook的开放图谱基本标签,以便在 Facebook 上呈现最优显示效果。据此我们推测肚脑虫组织使用了Facebook相关产品传播了恶意应用的下载链接。

image.png

图6肚脑虫组织恶意应用下载地址对应的网页源码

image.png

图7 开放图谱协议分享链接显示效果

在部分受害者手机中,我们发现攻击样本出现在WhatsApp文档路径中,由此推测肚脑虫组织使用了WhatsApp等社交软件进行载荷投递。

image.png

图8 肚脑虫组织投递路径

样本分析

肚脑虫组织最新攻击样本与早期攻击样本的恶意功能和云端执行命令完全一致,可以执行云端下发的命令进行录音、上传联系人、通话记录、短信等恶意行为。但是此次攻击样本代码实现与早期样本有所不同,主要对字符串进行了Base64编码并且通信方式发生了变化。

字符串编码

肚脑虫组织使用Base64编码对样本中的关键字符串进行了编码,从而实现静态规则免杀的作用。

image.png

图9 左边为早期代码实现,右边为最新代码实现

通信方式

肚脑虫组织早期攻击样本使用Socket实现网络通信,而最新的样本开始使用流行的网络通信框架retrofit2实现网络通信,并且使用了Google提供的FireBase下发最新的CC,从侧面说明肚脑虫组织正在使用较新的技术重构其恶意应用的代码。

image.png

图 10 左边为早期通信方式,右边为最新通信方式

image.png

图11 通过FireBase进行通信

受害者分析

我们发现了肚脑虫组织使用的一个文件分发网站进行传播恶意应用,该网站为肚脑虫组织分发移动端攻击样本的专属网站。网站显示了文件总数量、下载数量和过期文件数量。基于此数据,我们推测受害者可能多达数百人。

image.png

图12 肚脑虫组织样本分发网站

通过对受害者地理位置分析,我们发现肚脑虫组织此次攻击事件的目标主要为巴基斯坦和印度克什米尔地区。

image.png

图13 受害者分布

在此次肚脑虫的攻击活动中,我们获取了肚脑虫组织组织窃取的部分隐私数据,包括联系人、短信、通话记录、位置、照片、录音等文件,这些文件大部分被压缩加密,无法判断更多的受害者身份。但是其中一张未加密图片显示受害者可能包含军事背景人员。

image.png

图14肚脑虫组织窃取的部分隐私数据

image.png

图15 肚脑虫组织窃取的隐私图片

在巴基斯坦信德省官方网站公布的一份《防范Android恶意应用和仿冒应用》的文档中显示,有组织针对巴基斯坦武装部队和巴基斯坦三军情报局相关人员发起了一系列网络攻击活动,根据该文档提供的样本信息我们确定该组织为肚脑虫组织。

image.png

图16 文档部分内容

总结

肚脑虫组织此次攻击活动使用的攻击手法在我们之前的报告中都有提及,攻击中使用的钓鱼网站也与早期的钓鱼站几乎一样,由此可以发现APT攻击并不会因为被揭露而停止攻击行动,从侧面也说明了被攻击者安全意识薄弱。建议国内政企机构进行相关安全培训,提高安全意识,安装相应的安全软件。

IOC

C&C


carefile.icu
newbulb.xyz
trakfind.buzz
trendsjoy.biz
https://n9cl.xyz
https://apkfreeware.xyz
https://iilili.weebly.com
https://rapidchat.live
https://webchat.life

MD5

e5811485b2185e4cebb60425b6a63c99
e7fdc332b5018d5b21f05324be027f01
0fd18a60ad75c2f1889fcf2ed0006eac
672528c6e3e2a45d84fb7380242add18
23f690ca04ef95e2dd077c91b90546df
c0bdb4a453a00ea0b00a63615390f9bc
e1ba1e6e7be99ff24764468b99aff7f9
d95fa08171a3d267e0f11fd2b5badc5c
2f7f60f19a5223e92150e680f424db90
0fad02c0056e0d3fb07d5ce9144f596a
474c975f67133cac188177f235103b11
65aa0b2bf2b360b404866ae957ce40a4
771332d054930e6fc1a3b7239cc27fc9
4b0d3f1505a1c5d610aaca6e8aa903cf
c56e39ffda056769401b8449f7fd7bb6
cfcacd700de5c3ed1e0558938141aaed
b0c273a6cce371898b41ea4cbd3705d7
d56fb9dc7ed5708f4ffd3eea81c34f23
09875b476a5ba22ad4f842f681f4ae43
c675278109080ce0be39149c56acb152
27fbb727bfc4947a855505f0ed8b7eb3
2d2c53555e2636f08125d6f9dc9ad7b3
f4a5aa3390cc260b3ca68bcccd7c490a
584157845ba4b497cb1135721311abde
b0a467b42f358d6ad32e6288fd0acf55
76acaad8dc83bcdf25da132b425d4386
c8e65b3a0e115749304213b1f6f60dae
4675fb748db6140fca91fe1ea5a3047b
ddf6c1f96536a15aba65182eee47d93e
d9c1219434ae00736b9a73b9e4189101
8c305fc07486588beae99104d3ec340d
164ba18e475efb17e4e9a592b4241dff
f8673258bf0d7c997c698d00e1c4e4a4
3ca00459ba511f76915321d41a8b90ef
5d8a595c3a2e4e0e9c7b476a2258a1ff
96de6f7eb398960d28892fcad07c93c9
ced1b050e77f18eca8c596cb13fc71f7
61dae726840913c05875d3ebde44d74e
53901a5ffb06df8bfc57142598cee449
6e3f9110802a5ded3137f1848b634c72
527890cdbbdab06791da342adf08e071
97201f032ac52a1dd97eed4b936a66df
61d754610067be1a9cd19dd8cfbf88fc
c2d452be32ae53798f6c8c187893d944
37b23dae4cf2a4132137ada3db4b8392
f96ff43d0ad8215d3fcda5b3a1c0a600
ca6fbc9d68d3e333b58bc66d0566248b
80ee69eac7f3a434e3071db84ba5ebe1
c513e46ee546c2799f9ae741b4eee3b1
3611d8b8fdcc356b87ab7b48662ac5a8
44522bc5d79a6f0bc37f1b30797d35e0
cfdab38b5fbd0e73ac248c90eaf74b3b
eb970e6f9b614e2e3115ce9ba10659d7
6c6db77c97cca7f7f100f2cf9f5933f7
3c2b76fc30cf44ee68c5e8b874924ef8
e6e65330e6ced2d04c2601462aaef8c6
753561d5e16ba8773306fcd532cd29f1
556b6ac9c811570314780c1665467d28
6b4577515f1e4de42be7abc79dc1d3a4
d8ba1e375240664b9d587e36a41e30f8
87b5638f02c9356912c3b3122d38c2ac
48c18dbb8b82cea747fb8f4026e9a58d
e1e9d6fbf119958d43c221fcecd9ac62
12c529f1b8a4be7a734ade3d6518fbdc
e30bd67916c4253b8fac7d19c5da2e5f
f80bc5f295932227a43d7af90df570bb
757460d4f19e90d2d0523e61f1236405
94e5cbc9e99a2d97606f5cf91cda9b99
3bf02c543326f6ca4daef99b81770f5f
62c82d449ea9a3ef4fee0cb504885292
7681cdf4c118a7efafd24a068cdb9da3
0e74d33ed6efa317c34289728d051d6c
26299dc8ee2f4332aaf84d8e98c26dfb
d3d7d9d410162a3b6ba2a83f986d933f
f0845f502100e96fc244506f208f876e
f07d2e5090ecb97724bc64d928241e9a
6fd130db320976e48131331dbbe45e28
5c6044715365292bbe6899feea8f29af
2025d1e77447e921abc3d20c716ba45c
eb52d53d7f96c735e81df47d64697e59
47d87966124210465d8031310b3eaad3
4f090fc2796526f21a6b7b9246c12378
3975c2f800df29bbc1089caded98f17c
b3cddeef058e8398458845372320d36f
c13d265344dfb6425c5a80042ab8019f
7de9b508972ce23e83f23f7e365713a6
e563c2573e2594825978057e86420aa7
0e1c9c42094892245e443396921f2906
d5a05291ba9ebda3f6143da9551b2976
2926a67ddd6207888e06528598ed10d5
602efcaabd1dd263d7b0175b84bf0578
93601fc36958f5690cfa6fa32019bdb0
b2f9cdf0e2833ea252ed9c3c9fd05359
b2f6f87aa105a4f2add8734f08742b95
23238997eb76e867d82d11038fdcfafb
d56ba7ce3d8424fffb80d687d99f6a26
3f5b282f4daf428a50bca2cdf0e20a2d
0e4a5ce3939c05d75190f68192d208ff
9f12bed39ee3629a3537237f8e94f756
f880dacde070526130e7d784e98cdae2
04fff2ce62857f221bf0368b797c523d
821b5750ed0d5c28b0587e293a8e3bc6
d884987bc6e793265c2f5c390d514bff
e7881c2121b62a1fcda0a8c940d54159
2eafe6186db4c34031b7c2f7c08f4fc2
242e05f06544349256470110fdb433b5
d76c5afb53184dbbe14c0f2959fccaf3
76091b4eeb4654ac6516e743ef20aae1
9f5773e5751a916e99af05c39276c2cf
e11eabbfccbadc2c90dcd9e14e1fbd52
43bcb7bf9db10cfc3d2769eda3821c45
57181a67e14f898306dbf58ad0f924db
efd7588fc286c836f4151b77cc57a1c6
00f2f5d06ab2f00333f7f12e62a9a9cf
e5bd34a2a48ad8a2f70096b226b5d63c
fecf5a42a8a7d1f1c9aa60a0fcecfe86
bb5f685a1ffa310f90e23909512f32ca
6ef222c4d4a768b941dc50185b73f895
97b6b7481918237354f61a4f60517f77
3d0a17e31f911b86b15945a0f48b3901
fb50b34809024382ed6cd9078f04365d
18f8cb7f43ae01547e105da1699d0eb8
9381f33e21b1eec25109d3e997430dd5
c344329d533d09299b9243a6d8faceb1
6a793af4c3ecaef2a4288f6d97930ac5
cfe35bf44b47c02636593dde2fd236ef
f58eb04150cae8d93d6c1f7caf54a6dc
7c9ad47e1bc2069923da5bd547c3f01f
e2c7acee958a8f2a59b5e068150690e0
2ac766fbced12ed0cdcdc37304d2b36f
fa96a9e7ea8b8d84acd82152c1605a0d
34a5b1b6c61d75b92476e3be2379b934
65e94bcac5c4f3a46850d80573fff69b
878cc7303dc5054f54534a318130d976
25a2df5647a72e89cd807dd313ebe5fa

参考链接

https://blogs.360.cn/post/analysis-of-apt-c-35.html

https://blogs.360.cn/post/APT-C-35_target_%20at_Pakistan.html

https://www.lovehabibi.com/dating/pakistani-dating/

https://developers.facebook.com/docs/sharing/opengraph/using-objects/

https://ogp.me/

https://sindh.gov.pk/NOTIFICATIONS/January2020/Advisory23-1-20.pdf

本文链接:https://blogs.360.cn/post/APT-C-35_target_at_armed_forces_in_Pakistan.html

-- EOF --

Comments