一、 概述
Domestic Kitten组织(APT-C-50)最早被国外安全厂商披露,自2016年以来一直在进行广泛而有针对性的攻击,攻击目标包括中东某国内部持不同政见者和反对派力量,以及ISIS的拥护者和主要定居在中东某国西部的库尔德少数民族。值得注意的是,所有攻击目标都是中东某国公民。伊斯兰革命卫队(IRGC)、情报部、内政部等中东某国政府机构可能为该组织提供支持。
2020年9月27日,亚美尼亚与阿塞拜疆之间的冲突升级,在纳戈尔诺-卡拉巴赫地区交战,敌对双方持续发生激烈战斗,并且造成数十人伤亡。亚美尼亚与阿塞拜疆之间存在领土争端多年,最近再次爆发了近年最严重的冲突。由于中东某国与冲突两国的共同边界,中东某国的角色和当局的决定对此次冲突来说非常敏感。尽管中东某国对最近的紧张局势持中立态度以及外交部要求克制和和平解决冲突的坚定立场,但中东某国国内某些团体、民间社会组织和中东某国议会议员呼吁支持阿塞拜疆。或许正是这些原因,为了防止可能对中东某国政权稳定构成威胁,我们观察到Domestic Kitten组织再次发起了攻击行动。
Domestic Kitten组织此次攻击活动中使用了移动端攻击武器,伪装成居鲁士大帝和Mohsen Restaurant相关APP,从代码结构和功能上与商业监控软件KidLogger高度相似。我们在此次攻击活动中发现了一名活动在中东某国的疑似受害者,其可能参与了反政府相关活动。
二、 伪装对象
居鲁士大帝
Domestic Kitten组织在本次攻击活动主要使用了居鲁士大帝相关的样本发起攻击,其中样本信息见表1。样本运行界面如图1所示,应用主要介绍居鲁士大帝的历史以及其相关的事件和人物。
表1 居鲁士大帝样本信息
图1 样本运行界面
居鲁士大帝即居鲁士二世,本是中东某国西南部一个小首领起家,经过一系列的征战而胜利,统一了大部分的古中东地区,建立了从印度到地中海的特大帝国,当代中东某国人将居鲁士尊称为该国国父。本次伪装对象为居鲁士大帝相关的应用,我们推测攻击目标为中东某国崇拜居鲁士大帝的群体。
Mohsen Restaurant
Domestic Kitten组织在本次攻击活动中使用的另一批样本伪装成中东某国地区Mohsen Restaurant餐厅的APP,样本信息见表2。
表2 Mohsen Restaurant 相关信息
样本运行界面为Mohsen Restaurant的网站首页,如图2所示。
图2 Mohsen Restaurant 运行界面
根据样本打开的Mohsen Restaurant官网信息,我们发现该餐厅位于中东某国地区,如图3所示,据此我们推测攻击目标群体位于中东某国地区,可能经常光顾Mohsen Restaurant。
图3 Mohsen Restaurant官网信息
三、 功能分析
Domestic Kitten组织在本次攻击活动中使用的样本与早期国外安全厂商揭露的样本功能基本一致,主要功能如下:
- 拍照
- 录音
- 录像
- 获取短信
- 删除短信
- 获取通讯录
- 获取通话记录
- 删除通话记录
- 获取sdcard文件列表
- 获取已安装应用列表
- 获取通知栏消息
- 获取剪切板内容
- 获取手机账户
- 获取位置
- 获取设备信息
- 执行远程命令
远程指令按类型分为一级指令和二级指令,一级指令主要限定操作类型,二级指令是指定操作行为,远程命令和对应的含义。见表3
表3 远程命令以及对应的含义
四、 与KidLogger的关系
KidLogger是一款商业的远控工具,提供了免费版、标准版和专业版三个版本供客户使用,三个版本均没有提供源代码,KidLogger官网版本介绍如图4所示:
图4 KidLogger官网版本介绍
我们发现Domestic Kitten组织在本次攻击活动中使用的远控工具与KidLogger存在大量的相似之处,猜测Domestic Kitten组织开发的远控工具参考了KidLogger的功能实现。
首先,通过包结构对比可以发现KidLogger和Domestic Kitten远控工具存在大量相同的类名,如图5所示。
图5 KidLogger和Domestic Kitten远控工具包结构
其次,我们发现KidLogger和Domestic Kitten远控工具使用的方法名以及方法功能实现相同,如图6所示:
图6 KidLogger和Domestic Kitten远控工具方法
最后,在实现相同的功能上,KidLogger和Domestic Kitten远控工具除了实现方式类似,使用的变量名也相同,如图7所示:
图7 KidLogger和Domestic Kitten远控工具功能实现
五、 受害者分析
在进行溯源关联过程中,我们发现了一名疑是受害者,并获取到该受害者的部分文件,见表4,根据文件内容,我们推测该受害者为中东某国反动势力,符合Domestic Kitten组织的攻击目标。
表4 部分文件信息
文件“德黑兰-Af53-军事集中-.jpg”,这张图片中包含一辆警用装甲车,拍照时间为晚上,如图8所示。
图8 德黑兰-Af53-军事集中-.jpg
文件“筒仓街特种警察克曼沙(Kermanshah).mp4”,这个视频疑似拍摄克曼沙筒仓街特种警察局周围环境,拍摄时间为晚上,如图9所示。
图9 视频截图
文件“克曼沙赫特种部队司令部.mp4“,这个视频疑似拍摄克曼沙赫特种部队司令部周围环境,拍摄时间为晚上,如图10所示。
图10 视频截图
文件“Esteghlal电影院后面的Kermanshah警察总部.mp4“,这个视频疑似拍摄克曼沙赫特警察总部周围环境,拍摄时间为晚上,如图11所示。
图11 视频截图
文件“Mehdi Shiraz的Fahmideh基地识别照片.zip”,包含一张照片和一段视频,拍摄的内容见图12所示。
图12 Mehdi Shiraz的Fahmideh基地识别照片.zip 照片
文件“Mehdi Shiraz 5 Azar 识别照片.zip” 包含多张图片和一份文档,其中部分图片如图13所示,其中根据文档翻译的内容,如图14-15所示,我们推测其可能在策划一起反政府相关活动。
图13 Mehdi Shiraz 5 Azar 识别照片.zip 照片
图14 文档内容
图15 文档内容对应翻译
基于以上,我们认为该受害者可能从事间谍或者反动势力,符合Domestic Kitten组织的攻击目标。
六、 总结
亚美尼亚与阿塞拜疆之间的冲突升级,不仅给当地带了了巨大的损失,中东某国作为冲突两国的邻国,国内一些反动势力不免会乘机作乱,而此次Domestic Kitten组织通过网络攻击行动获取情报先机,将各种威胁中东某国国内稳定的事件扼杀至摇篮之中,维护中东某国国内安定。
IOCs
MD5:
3bab4d4c90e53e94d35b2f19ceeb1de2
ecb2b37dc1793754f7f60e133258e499
460299156a159dacea4a6b84216b3473
2ed69fa2170e9d4570218d33f5f32d26
6129cc4392d2e10ffdb80db67ca2534b
C&C
http://www.firmwaresystemupdate.com/hass
http://www.firmwaresystemupdate.com/mmh
http://www.appsoftupdate.com/mmh
参考:
https://research.checkpoint.com/2018/domestic-kitten-an-iranian-surveillance-operation/
https://www.bbc.com/zhongwen/simp/world-54322422
https://news.un.org/zh/story/2020/11/1070652
Comments