黄金鼠(APT-C-27),从2014年11月起至今,该组织对叙利亚地区展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台从开始的Windows平台逐渐扩展至Android平台,杀伤力较大。
经过监测,我发现该组织出现了一个与以前所使用 “ chatsecurelite.us.to ” 相比极其相似的新的域名 “ chatsecurelite.uk.to ”,除了域名相似以外,还有一个目录特征也尤为一致。
最新的目录如下:
http://chatsecurelite.uk.to/wp-content/uploads/app/y/
http://chatsecurelite.uk.to/wp-content/uploads/2018/android/t/
http://chatsecurelite.uk.to/wp-content/uploads/2018/android/apks/store/
以往该组织的目录特征,可以发现具有一定的相似性。
从主站的界面也可以看出几乎一致
此前该组织的首页
下图为近期较全的样本列表
其中有一个阿拉伯语书写的样本名实际为更新offcie for mobie
从样本方面,启动后均会要求激活设备管理器,若设备是root用户,启动后基本会请求Root权限。这也是一些android木马通用的手段。
点击激活设备管理器后,APP会退出,并过一会后,图标会被隐藏。
对其中几个样本进行分析后(还没看完),发现大体框架一致,且与此前该组织Android木马的代码具有一定的相似性。
Audio开头的是录音相关
Camera是拍照
CLL是通话记录
File开头是文件操作类
GPS开头是位置监控
Packageinformation是获取用户已安装的包
SMS是获取短信
Net开头的为网络行为
Packet和protocol是解析控制指令
回连C&C
ioc:
6296586cf9a59b25d1b8ab3eeb0c2a33
f59cfb0b972fdf65baad7c37681d49ef
c741c654198a900653163ca7e9c5158c
5de80e4b174f17776b07193a2280b252
cf5e62ebbf4be2417b9d3849c3c3f9c9
f0d240bac174e38c831afdd80e50a992
download
http[:]//chatsecurelite.uk.to/wp-content/uploads/app/y/
http[:]//chatsecurelite.uk.to/wp-content/uploads/2018/android/t/
http[:]//chatsecurelite.uk.to/wp-content/uploads/2018/android/apks/store/
C&C:
82[.]137.255.56
来源:freebuf.com 2018-07-17 01:18:35 by: 黑鸟
请登录后发表评论
注册