“透明部落” APT组织移动端新近活动披露 – 作者:奇安信威胁情报中心

概述

2021年2月,奇安信威胁情报中心移动安全团队在移动端高级威胁分析运营过程中,发现APT组织“透明部落”新近活动采用的移动端Tahorse RAT出现新变种。Tahorse RAT是APT组织“透明部落”此前基于开源的Ahmyth远控定制生成,于2020年8月25日被我们进行命名披露。此次Tahorse RAT变种主要去掉了漏洞的使用,但其恶意功能保持不变,部分变种还增加了Google提供的FireBase能力实现云控制,目前未发现此恶意代码对国内有影响。

2020年8月,奇安信威胁情报中心移动安全团队与安全厂商卡巴先后披露了APT组织“透明部落”在移动端的攻击活动。通过关联分析,我们发现此次Tahorse RAT新变种样本出现在被披露后的第二周;通过与2020年7月印度陆军禁用的89款APP名单比较发现,新变种应用均避开了禁用的APP名单,伪装成新的社交应用进行传播,甚至直接伪装成印度陆军新闻应用进行攻击,可见该组织具备较快的更新响应能力。

“透明部落”是一个来源南亚且具有政府背景的APT组织,其长期针对周边国家和地区的军队和政府机构实施定向攻击。为了防止威胁的进一步扩散,奇安信威胁情报中心对该安全事件进行详细分析和披露,以提醒各安全厂商第一时间关注相关的攻击事件。

攻击方式

“透明部落”组织此次移动端上的攻击主要伪装成AF News、WhatsApp、Chat Bolt这三款没有出现在印度陆军禁用名单的应用,以及伪装成系统设置相关应用。

APK MD5

时间

图标

伪装形式

FireBase

976743edf6bcc12bb0349b3ea11aab2f

579b9c358475b9e45d91a06df58493d6

20-12-26

21-01-03

1615433152_60498dc0194d7142433a9.png!small?1615433152342

Chat Bolt

no

02a121aea1bfb7b0684462b112c82552

21-01-20

1615433182_60498ddeaa7879cd2f233.png!small?1615433183465

AF_News

no

cc4d7b39dec5335e209f80a3c212a6ba

bf5cc683a34f697affec1aef221ccb30

bb8e05ec8b15efa2f9d5b66de1a7eb1d

20-12-02

21-01-26

21-02-02

1615433192_60498de8717ca0fc0384a.png!small?1615433192670

WhatsApp

no

f6b028ccc8a872ad5eb3d9a36020adac

2d73bb3ac2625fda94e5da8d8e79cae3

20-09-15

20-09-15

1615433476_60498f04cdd2f87dc4b0a.png!small?1615433477248

imo

yes

d2a9b362fdf56c10bb89c8164a779601

20-09-06

1615433528_60498f38a945f2a7a4837.png!small?1615433528904

系统设置

no

其中伪装的AF News 为印度陆军所使用的新闻应用,表明了攻击带有非常明确的目标为印度陆军。

1615433559_60498f576b55e72cbc225.png!small?1615433559728

此外伪装的WhatsApp与Chat Bolt社交应用,运行后显示的登陆界面电话区号“+91”,也表明了攻击针对的是印度。

1615433583_60498f6f5b72defc87066.png!small?1615433583573

攻击样本分析

“透明部落”组织此次攻击活动采用的是2020年8月被我们命名的Tahorse RAT变种。分析发现到被披露后的第二周,该组织对Tahorse RAT进行了更新迭代继续进行新攻击活动,但其恶意功能保持不变。

Tahorse RAT是APT组织“透明部落”基于开源的Ahmyth远控进行定制修改生成的,修改后其现支持有八种远程指令。

一级指令

二级指令

字段

功能

x000fm

ls

path

获取指定目录目录文件列表信息

dl

path

上传指定文件到C2

x000adm

未实现

sms

ls

获取短信列表信息

sendSMS

to

控制发送指定短信内容给指定的手机号码

sms

deleteSMS

to

删除包含指定内容串的短信

sms

x0000cl

获取通话记录信息

x0000cn

获取联系人信息

x0000mc

au

sec

录音,持续sec秒,存为sound.mp3

mu

停止录音并上传,删除录音文件

muS

开始录音

x0000lm

获取当前地理位置经纬度信息

x0000upd

path

到指定的url下载apk升级当前apk

此次Tahorse RAT变种出现了下面4点变化:

1.去除开源项目AutoStarter对国内主流品牌手机的定制优化模块,仅针对小米和VIVO进行了一定的适配。

1615433649_60498fb1bfefada98ca6b.png!small

2.去除qu1ckr00开源项目中利用CVE-2019-2215漏洞的ELF模块。

3.去除之前释放的伪装成的数款社交软件的子包APK方式,直接伪装成不在印度陆军禁用名单的新目标。

4.增加了Google提供的FireBase能力实现云控制功能,进行云下发唤醒核心远控Service。并结合下面的token操作,可以精确到某一个设备进行操作。

1615433665_60498fc14eed67cf6ede8.png!small?1615433665727

接收FireBase消息,进行响应弹出云下发的假通知消息。

1615433686_60498fd6f1f5ea20ca0a8.png!small?1615433687254

实时发送设备Token给控制端,便于控制端进行精确控制每一个具体终端执行行为。

1615433701_60498fe58d02fc619f54e.png!small?1615433701880

攻击组织溯源分析

基于奇安信威胁情报中心移动安全团队的分析系统和红雨滴APT样本关联系统的追踪分析,奇安信威胁情报中心判断本次攻击活动的幕后组织疑似为“透明部落”组织。主要依据如下:

“透明部落”组织在已经披露的历史攻击行为中,存在通过PC端多次对印度陆军投放诱饵文档的攻击;而此次移动端攻击也出现针对印度陆军投放的诱饵应用,攻击方式及目标与PC端保持一致。

该移动端RAT仅在“透明部落”组织出现过, 且部分C2与“透明部落”组织出现重叠。

总结

“透明部落”组织近期增加了移动端上持续投入的迭代升级攻击,也再一次印证了军事实战的升维,网络空间作战行动已是常态化、多样化。网络钓鱼可谓老生常谈,却仍是攻击者屡试不爽的惯用手法,显然还是最有效的战术之一。应对这些攻击不仅需要安全厂商的各类安全产品的防护和到位的安全服务支持,更离不开企业对内部自身安全规程及企业内部员工安全防范意识的持续建设。针对普通用户如何避免遭受移动端上的攻击,奇安信威胁情报中心移动安全团队提供以下防护建议:

在正规的应用商店下载应用。国内的用户可以在手机自带的应用商店下载,国外用户可以在Google Play下载。不要安装不可信来源的应用、不要随便点击不明URL或者扫描安全性未知的二维码。

移动设备及时在可信网络环境下进行安全更新,不要轻易使用不可信的网络环境。

对请求应用安装权限、激活设备管理器等权限的应用要特别谨慎,一般来说普通应用不会请求这些权限,特别是设备管理器,正常的应用机会没有这个需求。

确保安装有手机安全软件,进行实时保护个人财产安全;如安装奇安信移动安全产品。

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对此类攻击的精确检测。

附录

IOC

APK  MD5

02a121aea1bfb7b0684462b112c82552

bb8e05ec8b15efa2f9d5b66de1a7eb1d

f6b028ccc8a872ad5eb3d9a36020adac

579b9c358475b9e45d91a06df58493d6

976743edf6bcc12bb0349b3ea11aab2f

bf5cc683a34f697affec1aef221ccb30

cc4d7b39dec5335e209f80a3c212a6ba

2d73bb3ac2625fda94e5da8d8e79cae3

d2a9b362fdf56c10bb89c8164a779601

C2

C2对应ip

tryanotherhorse.com

185.165.168.35

212.8.240.221

178.132.3.230

www.iwillsecureyou.com

89.45.67.50

参考信息

  1. https://www.secrss.com/articles/24995
  2. https://securelist.com/transparent-tribe-part-2/98233/
  3. https://www.businesstoday.in/latest/trends/full-list-of-89-mobile-app-banned-for-army-soldiers/story/409396.html
  4. https://www.businessinsider.in/tech/apps/news/checkout-the-list-of-89-apps-banned-for-indian-army-soldiers/articleshow/76865942.cms

来源:freebuf.com 2021-03-11 14:58:15 by: 奇安信威胁情报中心

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论