03月16, 2021

针对印度锡克教分离主义运动的攻击活动

概述

据维基百科介绍锡克教是现存最年轻的主流宗教之一,目前在全世界有2500万教徒,是世界第六大宗教。大部分锡克教徒居住在印度旁遮普邦。2019年,有媒体报道Google Play曾上架了一款名为“2020年锡克人公投”(2020 Sikh Referendum)的应用程序并开放给用户免费下载,该应用可就锡克教徒在印度旁遮普邦独立并建立锡克人国家的议题进行公投。这个应用由“正义的锡克教徒(Sikhs for Justice)”组织上传,该组织是一个总部位于美国的是一个分裂国家团体,支持锡克教徒建立独立国家卡利斯坦(Khalistan)将旁遮普邦从印度分裂出去。此事件引发印度民众强烈不满,批评该行为是宣传反印度的锡克教分离主义,并要求Google Play立即下架应用。

由于受到政治和宗教的影响,锡克教徒群体一直是APT组织攻击的重点目标。2020年10月国外安全研究机构披露Bahamut组织就通过钓鱼方式仿冒“2020年锡克教徒公投”网站针对锡克教徒进行积极的攻击活动。

近期,我们再次发现了多个伪装成宣传锡克教分离主义相关的钓鱼网站,该网站还提供了对应的APP分发服务,该APP不但包含正常功能介绍锡克教分离主义的一些历史、文章。还添加了远控功能,可以后台窃取用户隐私。通过进一步关联发现,本次攻击活动自2019年就开始实施,至今仍在进行中。攻击平台包含Windows和Android。结合受害人的分析,此次攻击目标我们认为针对主张锡克教分离主义运动的相关人员以及从事外贸行业的从业人员。

载荷投递

在本次攻击行动中,该组织主要使用钓鱼页面进行载荷投递。我们发现了该组织使用的两个相似的钓鱼网站,除了在语言方面存在少许区别外,页面内容几乎一致。该网站伪装成锡克教分离运动相关的页面,网站页面上有该钓鱼网站访问统计,截至目前已经累计超过2.4万次访问,由此可见,攻击活动还在继续并且受害者数量也在进一步扩大。

image.png

钓鱼网站首页

通过两个钓鱼网站的证书信息,我们推测此次攻击行动自2021年1月开始,至今仍然还在持续攻击中。

image.png

钓鱼网站使用的证书信息

样本分析

Android端

image.png

本次攻击行动中使用的Android样本提供了查看关于锡克教分离主义的相关文档的各种功能,通过对比攻击行动中使用的不同版本攻击样本,我们认为该应用并非重打包其他已有应用,而是攻击者开发制作,并且持续更新中,其中应用运行界面如下图。

image.png

应用运行界面

除了具备基本的使用功能外,该应用还具备远控功能,其远控功能实现代码来自L3MON。L3MON是基于AhMyth开发的一款开源的远控管理平台,其中该平台使用的远控工具主要有以下功能:

  • GPS记录
  • 麦克风录音
  • 查看联络人
  • 短信记录
  • 发送短信
  • 通话记录
  • 查看已安装的应用
  • 查看以获取的权限
  • 实时剪贴板记录
  • 实时通知记录
  • 查看WiFi网络记录
  • 文件浏览器和下载

通过L3MON的说明文档能够构建L3MON管理平台,L3MON管理平台包括三个部分组成,自动构建APK页面、设备管理页面以及控制指令页面。下图为该平台自动构建APK的功能页面。

image.png

APK构建功能页面

下图为该平台设备管理功能,可以管理所有被感染的设备。

image.png

设备管理功能页面

下图为该平台远程指令功能,可以针对被感染设备下发控制指令。

image.png

功能管理功能页面

由于L3MON远控平台使用的Android远控工具是基于AhMyth开发,所以代码结构与AhMyth的差异性不大,下图为AhMyth和L3MON使用的Android远控工具的代码结构对比。

image.png

左边为AhMyth,右边为L3MON

可以看到两者结构基本一致,但是L3MON在AhMyth的基础上添加了部分功能,下图为AhMyth和L3MON的指令以及对应的功能。

image.png

AhMyth和L3MON的指令及功能对比

关联

通过360威胁情报C&C关联我们发现了其他Android样本和PC样本。

image.png

360威胁情报平台关联信息

image.png

Android端样本是经过篡改的开源聊天应用程序ChatApp,同样添加了L3MON的远控功能。此APP的捕获日期为20年12月早于Khalistan Zindabad,我们推测在此次攻击行动中,还会根据不同场景使用不同的诱饵文件对目标进行攻击。

image.png

PC端样本使用是早在2017年就被安全厂商命名的Pony木马变种,Pony木马主要用于收集文件数据等。据介绍该木马家族其主要通过鱼叉邮件方式进行传播。通过数据显示,PC端受害者主要为从事外贸行业的从业人员。我们推测本次攻击活动,攻击者也可能采取了相同手法投递PC端外贸相关诱饵文件。下图为Pony木马与本次PC端使用的木马遍历文件的代码对比。

image.png

左边为pony木马,右边为本次攻击木马

总结

本次攻击活动包括Windows和Android双平台,Windows端主要针对的是从事外贸行业的从业人员而Android端主要针对的主张锡克教分离主义运动的相关人员。以移动端攻击角度看,攻击者早以筹备已久,在攻击前创建了多个钓鱼网站用于分发移动端恶意样本,同时在攻击过程中,短短2个月时间内访问钓鱼网站的潜在受害者就达到数万人,并且数字还在进一步增长,可谓攻击活动进行的非常顺利。攻击者动机也非常明确,借以政治宗教内容为诱饵,针对性极强。此前肚脑虫组织(APT-C-35)、Bahamut组织都使用了仿冒成锡克教相关的移动端诱饵文件,我们预测针对该群体的此类攻击活动还将继续发生,我们将保持密切关注。

IOC

PC

91914f61203fb5ee539e8d929387fa1bb7c1fba6d4d854d1a32f46068392cb67

ecfb202222877ceb081e7cd84849c0991dae68778f902e4682e1ba94351e511d

Android

e47e82cbbef60cce94c4a0121904429b

7740ddd0bb3e16a263b09ae2be6bf1a4

0e18b4a02c8d5503d2c3e0b4ee72329c

4c6892c9d8b15fc3bd429053592d49b2

C&C

http[:]]//213.252.244.30:22222

http[:]]//213.252.244.30:22322

URLs

https[:]//www[.]pro-khalistan[.]app/Khalistan.apk

https[:]//www[.]pro-khalistan[.]app/Khalistan_v23-release.apk

https[:]//www[.]sikhsangarsh[.]com/Khalistan-release.apk

参考

https[:]//economictimes.indiatimes.com/topic/Khalistan-Zindabad-Force

https[:]//2020sikhreferendum.org

https[:]//github.com/AhMyth/AhMyth-Android-RAT

https[:]//github.com/D3VL/L3MON

https[:]//github.com/iamraf/ChatApp

360烽火实验室

360烽火实验室致力于移动恶意软件分析、移动灰黑产研究、移动威胁预警、移动APT的发现与追踪等移动安全领域的深入研究。作为全球顶级移动安全生态研究实验室,360烽火实验室在全球范围内不仅首发了多篇具备国际影响力的移动安全生态研究成果,并且成功狩猎了蔓灵花、拍拍熊等多个APT组织针对我国及境外重要目标的攻击活动。实验室在为360手机卫士、360手机助手、360加固保等公司产品提供核心安全数据的同时,也为科研单位、手机厂商、应用商店及上百家国内外合作伙伴提供了移动应用安全检测服务,全方位守护移动安全。

本文链接:https://blogs.360.cn/post/Attack-on-Sikh-separatist-movement.html

-- EOF --

Comments