月光鼠组织(Molerats )新近移动端攻击活动跟踪披露 – 作者:奇安信威胁情报中心

概述

2020年12月,奇安信威胁情报中心移动安全团队捕获到Android平台上一款新型的的恶意RAT,分析显示该RAT最早出现于2017年,被持续使用至今,目前共有3个版本。

经过溯源和关联后发现,该RAT属于Molerats APT组织特有的移动端武器,我们将其命名为GazaHT家族。根据奇安信威胁情报中心内部中文命名方式,我们将该组织重命名为月光鼠组织

月光鼠组织来自中东某地区,攻击目标主要针对以色列地区巴勒斯坦地区。该组织在2012年10月针对以色列政府目标发起恶意软件攻击,导致色列警察部门为保险起见断开了该部门所有计算机的网络访问权限而引起了媒体的关注。

2013年国外安全厂商FireEye对将其披露并命名为Molerats ;此后该组织仍持续展开多个攻击活动,并被多家国内外安全厂商进行披露及命名,故拥有多个别名 (别名:Gaza Hackers Team、Gaza cybergang、Gaza Cybergang、Operation Molerats、Extreme Jackal、Moonlight、ALUMINUM SARATOGA)。

以下我们披露一下月光鼠组织所使用的攻击战术,并对新近所用恶意代码做个技术分析。

载荷投递

通过对移动端的攻击样本分析可发现,月光鼠组织在移动端的攻击载荷采用伪装成谷歌应用商店相关应用和聊天应用的投递方式。奇安信威胁情报中心移动安全团队通过追踪分析后发现:月光鼠组织其中伪装成的聊天应用攻击载荷主要存放在钓鱼网站(ephoneservices.club),尽管该钓鱼网址标题说明“高质量,安全且可在Google Play上使用”,但一旦点击按钮便会直接下载恶意的攻击载荷。该网站的攻击载荷属于第二代RAT,另该网站在2020年7月被安全厂商ESET发布披露后不久失效。

1609744667_5ff2c11b4fd7021bea56a.png!small?1609744667802

攻击样本分析

月光鼠组织拥有自己特有的移动端GazaHT攻击样本家族,按照功能迭代已发展到现今的第三代,最新第三代已增加利用辅助功能对目前流行的社交应用进行窃取信息功能。GazaHT家族功能完善,可以获取通话记录,短信信息,照片,通讯录,地理位置信息,通话录音等。攻击者可以根据自身能力扩展更丰富的监控功能,且可以通过下发指令便捷的对受害用户手机进行远程操控。

主要远控指令

功能

S1

是否开启信息收集

S2

保留字段

S3

保留字段

S4

短信窃取

S5

照片上传

S6

录音

S7

通话录音

S8

窃取社交应用聊天内容信息

远程控制指令和对应功能关系表

1609744681_5ff2c12903ca63e88db08.png!small?1609744682241

第一代

第一代版本出现于2017年8月,已具备主体窃取信息功能功能,代码未混淆。

1609744686_5ff2c12e2059a1779d190.png!small?1609744686426

同时C&C域名也直接明文存储在代码中。

1609744690_5ff2c13296e78ee5cb467.png!small?1609744690920

第二代

第二代版本出现于2018年3月,其在第一代基础上开始窃取功能主体模块化拆分,同时对C&C地址进行AES加密存储,并开启混淆对抗分析。

1609744699_5ff2c13b668576ce1f25d.png!small?1609744699870

1609744703_5ff2c13fe28535dbacc89.png!small?1609744704204

第三代

第三代版本在2019年10月开始准备,真正被发现于2020年12月,其在第二代基础上新增包含利用AccessibilityService功能对目前流行的社交应用(whatsapp、telegram、facebook)进行窃取信息的功能。

1609744715_5ff2c14b063cc3ad5147c.png!small?1609744715296

1609744726_5ff2c156b192943289a40.png!small?1609744727019

1609744737_5ff2c1612ed14a44bd17a.png!small?1609744737521

攻击组织溯源分析

基于奇安信威胁情报中心移动安全团队的分析系统和红雨滴APT样本关联系统的追踪分析,奇安信威胁情报中心判断本次攻击活动归属为月光鼠组织(Molerats)。主要依据如下:

  • 样本针对啊拉伯语用户,可以推测该攻击主要针对中东国家。

  • 其中的一个C&C为net,而pal4u.net 是该组织的一个常用资产。另其最新的C&C采用了巴勒斯坦Nepras For Media & IT域名商的域名systembackups.info,也间接印证符合该组织的地区身份。

  • 其最新的样本签名带有“Palestine”及“gaza”,也间接印证符合该组织的地区身份。

总结

自 2012 年以来月光鼠组织一直在中东地区活动,其主要使用网络钓鱼主题和诱骗文件的分析开展攻击。网络钓鱼可谓老生常谈,却仍是攻击者屡试不爽的惯用手法,显然还是最有效的战术之一。应对这些攻击不仅需要安全厂商的各类安全产品的防护和到位的安全服务支持,更离不开企业对内部自身安全规程及企业内部员工安全防范意识的持续建设。针对普通用户如何避免遭受移动端上的攻击,奇安信威胁情报中心移动安全团队提供以下防护建议:

  1. 在正规的应用商店下载应用。国内的用户可以在手机自带的应用商店下载,国外用户可以在Google Play下载。不要安装不可信来源的应用、不要随便点击不明URL或者扫描安全性未知的二维码。

  2. 移动设备及时在可信网络环境下进行安全更新,不要轻易使用不可信的网络环境。

  3. 对请求应用安装权限、激活设备管理器等权限的应用要特别谨慎,一般来说普通应用不会请求这些权限,特别是设备管理器,正常的应用机会没有这个需求。

  4. 确保安装有手机安全软件,进行实时保护个人财产安全;如安装奇安信移动安全产品。

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对此类攻击的精确检测。

附录:IOC

文件Hash

名称

RAT版本

2c5cd58126290a04b4dffe87d5240ba0

Google Play Store

第一代GazaHT

989da9cf729db914c03cfadb25418e0a

Google Play Store

第二代GazaHT

5770a9c2504ff5f424aa2d563c98a12e

Google Play Store

第二代GazaHT

c61aa3ab6d335ef45dd4345b7f3ce276

Google Play Store

第二代GazaHT

2b6f2c53e206544a707241c9e157f9dd

Welcome

第二代GazaHT

8698967ce83b4ac06a509a9fbfef5281

Welcome

第二代GazaHT

9006bfc208a6ed36f7a75816e2b31ca8

Google Services

第三代GazaHT

C&C地址

用途

备注

systembackups.info

C2地址

下发指令、数据回传

emobileservices.club

C2地址

下发指令、数据回传

pal4u.net

C2地址

下发指令、数据回传

附录:参考信息

  1. https://aptmap.netlify.app/#Molerats

  2. https://www.fireeye.com/blog/threat-research/2013/08/operation-molerats-middle-east-cyber-attacks-using-poison-ivy.html

  3. https://securelist.com/gaza-cybergang-updated-2017-activity/82765/

  4. https://ti.qianxin.com/blog/articles/suspected-molerats-new-attack-in-the-middle-east/

  5. https://www.welivesecurity.com/2020/07/14/welcome-chat-secure-messaging-app-nothing-further-truth

来源:freebuf.com 2021-01-05 15:30:51 by: 奇安信威胁情报中心

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论