叙利亚电子军(Syrian Electronic Army)是一个支持叙利亚领导人巴沙尔·阿萨德的黑客组织。
整理大致战绩如下:
2013年8月27日,叙利亚电子军攻击《纽约时报》和Twitter。
2014年1月1日,叙利亚电子军侵入美国微软公司旗下网络通讯软件Skype的多个社交平台账户,发布讽刺微软协助美国政府监视民众通信隐私的消息。
2015年06月10日,证实叙利亚电子军成功入侵美国陆军官网
2016年,美国司法部(DoJ)对外公开了两起对三名叙利亚电子军(SEA)黑客嫌疑人发起的诉讼案。
在此之后,该黑客组织看似保持低调,但实际上其并没有停止活动:它改变了战术,现在为了达到监视的目的,而向阿萨德政权的反对者提供定制的Android恶意软件。
这款Android恶意软件名为SilverHawk,该恶意软件被认为自2016年中期开始运营,能够录制音频,拍照,下载文件,监控联系人,跟踪位置等。
下面是为了投放SilverHawk而采取的伪装应用占比图,从图可以看出,系统更新程序,Telegram更新程序和WhatsAPP更新程序占主流三大块。
以上应用会通过假冒网站或者入侵的网站进行投放,存在opendir
样本通信协议特征很明显,字段清晰
指令列表如下
在SilverHawk问世前,该组织一直在使用一款名为AndroRAT的安卓木马进行攻击,所以在这两个家族之间从界面到硬编码字段都具有一定的相似性
除了安卓马之外,作为老牌的赫赫有名的鱼叉攻击社工大军,当然还会通过鱼叉攻击进行恶意文档投放。
利用的木马有
NjRAT,H-Worm Plus,自定义的 .NET 下载者和DarkComet
不出意外,应该是通过宏请求通过pastbin进行脚本获取,并执行
pastbin id:MEDOAAAA
关联分析
通过域名和PDB信息,Th3 Pr0,可以关联到之前美国通缉案中的其中一名选手。
从样本和文档中的各类ID中,可以看到特别独有的起名风格,怀疑是成员
结合这些元素,可以组成一幅成员名单列表,右边那个ID可以玩玩
与叙利亚电子军攻击相关的分析文章
360 Threat Intelligence
https://ti.360.net/blog/articles/analysis-of-apt-c-27/ • https://blog.360totalsecurity.com/en/the-sample-analysis-of-apt-c-27s-recent-attack/
Kaspersky Labs
https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/08074802/KL_report_syrian_malware.pdf • https://securelist.com/the-syrian-malware-house-of-cards/66051/
FireEye
https://www.fireeye.com/blog/threat-research/2014/08/connecting-the-dots-syrian-malware-team-uses-blackworm-for-attacks.html
EFF
https://www.eff.org/document/quantum-surveillance-familiar-actors-and-possible-false-flags-syrian-malware-campaigns
Citizen Lab
https://citizenlab.ca/2014/12/malware-attack-targeting-syrian-isis-critics/ https://issuu.com/citizenlab/docs/maliciously_repackaged_psiphon
虽然PPT没公开样本,但通过里面一些关键字以及附录的文章还是可以找到很多东西玩的,毕竟老美的敌人就是我们的朋友
来源:freebuf.com 2018-12-11 22:19:46 by: 黑鸟
请登录后发表评论
注册