北京 的痤疮医院 http://baidianfeng.39.net/bdfby/yqyy/概述
双尾蝎(APT-C-3)组织至少06年5月起活跃至今,长期对巴勒斯坦教育机构、*事机构等重要领域展开了有组织、有计划、有针对性的持续性攻击,背后攻击者疑似具备中东背景。攻击活动涉及Windows与Android平台,投递的诱饵主要伪装成文档、播放器、聊天软件以及一些特定领域常用软件,通过鱼叉或水坑等攻击方式配合社会工程学手段进行渗透,向特定目标人群进行攻击。
微步情报局近期通过威胁狩猎系统捕获到多起双尾蝎利用选举话题针对巴勒斯坦国的攻击活动,分析有如下发现:
攻击活动以“总统和领导层在选举中的立场以及有关法令的建议”和“开幕式和选举权”等选举相关时事热点为话题,对目标受害者进行鱼叉式钓鱼攻击。
捕获到的Windows平台样本包含VC和Delphi开发的两种后门(Delephi版本后门也称Micropsia),其中VC版本后门已迭代更新到8.0版本,两种后门具备的功能和早期版本相比指令趋向于精简化。这让攻击更加隐蔽,攻击者会挑选特定感兴趣的目标然后下发后续攻击载荷。
Android平台的活动则是保持双尾蝎惯用做法,通过伪造高度相似的Telegram网站,诱饵Android目标受害者进行下载。
微步在线通过对相关样本、IP和域名的溯源分析,共提取0条相关IOC,可用于威胁情报检测。微步在线威胁感知平台TDP、本地威胁情报管理平台TIP、威胁情报云API、互联网安全接入服务OneDNS等均已支持对此次攻击事件和团伙的检测。
详情
当地时间月5日,巴勒斯坦总统阿巴斯宣布了该国举行全面大选的日期。巴勒斯坦立法委员会选举、总统选举和巴勒斯坦全国委员会选举将分别于5月日、7月3日和8月3日举行。
在巴勒斯坦选举活动下,双尾蝎组织利用相关*治内容制作诱饵文档,针对特定目标受害者进行鱼叉式钓鱼攻击。
具体捕获到的有以下诱饵:
.总统和领导层在选举中的立场以及有关法令的建议
.开幕式和选举权3.研究关于自由的问题3样本分析3.Windows样本
诱饵总统和领导层在选举中的立场以及有关法令的建议.exe
.基本信息
样本名称Thepositionofthepresidentandtheleadershipontheelectionsandthecorrespondingproposalsforthedecrees.exe总统和领导层在选举中的立场以及有关法令的建议.exe样本类型PE3executableforMSWindows(GUI)Intel-bit样本大小.79MB(bytes)MD59cafbfad4SHAb7c0be00aea5ddabd66ddd8beSHAa53ccfae4fbb69d98f87bc65a3a05b9bcec3ffbe4c开发语言VCCjamesmontano.life.诱饵内容截图3.样本执行后会释放出资源文件中的PDF文档,用于迷惑目标用户。4.将指向自身的lnk写入到启动目录,实现后门持久化。5.获取计算机名称+0位随机字符串,然后Base64编码写入到“DanielRobbins.txt”文件中。6.在样本中发现疑似为版本号的字符串“8.0”。7.将包括Base64编码的计算机名称、文件路径通过HTTP的Post方式提交,作为受控端上线的首包。Post包格式:“D5wdnvX3A=%sWgJEo7TIB=%sSuaNe0b4C=%sLsZjYv3Q=%swWfCs44WI=%s”8.数据包如下:9.循环获取C服务器的命令,该样本实际为下载器功能,具备从C服务器传输文件(Base64编码方式)和URL下载文件两种方式。C服务器传输文件代码如下:0.URL下载文件方式诱饵开幕式和选举权_55_pdf.exe.基本信息样本名称55_?????????????????????_pdf.exe开幕式和选举权_55_pdf.exe样本类型PE3executableforMSWindows(GUI)Intel-bit样本大小6.40MB(bytes)MD5ee83e65cec8b67faf44b0eSHA7ebd53de6dbae60ddfedbd33SHAbd9a3d03ddc35d8debf8ed0f4b8ca36d59e06e7fba9开发语言Delphi家族名称MicropsiaCnicholasuhl.website.诱饵内容截图3.样本由Delphi语言开发,实现了两个时钟事件,第个时钟事件实现诱饵文档的释放。4.第个时钟事件代码实现了释放后门到“%temp%\sysofftimezonenotification.exe”。5.“sysofftimezonenotification.exe”后门同样由Delphi开发,同样由3个时钟事件触发后门功能,使用时钟事件能够避免沙箱的时间延时检测。6.时钟3执行了后门的持久化代码,通过将自身的lnk快捷方式写入到启动目录中实现持久化攻击的能力。7.时钟实现了后门的上线请求相关行为,包括获取计算机名、用户名、生成PCID、获取杀软、系统版本、后门运行路径等。8.其中PCID生成后会被写入到“%appdata%\dsfjj45k.tmp”文件,如下:9.获取杀软代码如下:0. 使用HTTP的POST方法提交上线请求,请求包格式:“vcqmxylcv=计算机名_用户名_PCID%3D%3Dvcnwaapcv=杀软名%3Dvcllgracv=版本信息%0D%0AIEVkaXRpb4pvcwjlxycv=运行文件名vccodwfcv=test%3D%3D”,其中值部分全部使用Base64编码。.请求包抓包如下:.响应包会包含C服务器下发的指令,具体命令如下表格:指令字符串功能Sh截图Cmd远程命令执行Df文件下载3.Android平台.基本信息样本名称Telegram.apk样本类型APK(Ziparchivedata,atleastv.0toextract)样本大小5.9MB(bytes)MD5d9c8cd3a73fabfc7ba37e7SHA4cbf0c8e0fafda88cSHAba7cacbdbca85ccf80fd49abc5dde37b03f07edcdd6e钓鱼网站apps-market.site.钓鱼网站高度模仿Telegram网站,提供相关应用简介以及应用诱导目标用户下载。3.运行截图如下:4.该后门运行一段时间后会隐藏自身图标,并且伪装成GoolePlay安装程序,如下图:5.具备通过FCM(FirebaseCloudMessaging)服务下发C指令的,如下:6.通过SMS下发的指令如下:7.此次捕获的样本指令并没有经过混淆处理,在历史版本中指令字符串通常经过多次Base64编码。8.后门具体的功能包括:拍照、音频录制、WI-FI操作、读取通话记录、读取短信、读取联系人、文件操作(下载、上传)、窃取指定文件(主要是文档和图片类型)、应用操作(安装和卸载等)、隐藏自身图标和SIM卡操作等。9.窃取的文件类型包括:4关联分析
关联分析中,我们从包括人名、后门代码和资产三个特点,判研投递的诱饵属于双尾蝎组织。详细如下:
.人名特征(字符串特点)
样本中存在多个人名,如:“DanielRobbins”、“Barsness”、“Lewellen”和“TeaganCrostreet”等,该特点曾由Checkpoint安全公司所披露。
.后门代码
诱饵由VC语言开发,诱饵由Delphi所开发,其中代码风格和历史版本有较大的相似点,但指令功能有些变化。此外,后门持久化的方式使用lnk+启动目录搭配的方式也是较为显著的特点。
)Delphi版后门)VC版后门3.资产特点根据C域名的注册商、NS服务器指向、域名字符串特点进行对比,符合双尾蝎的历史资产特点。
-END-
转载请注明:http://www.balesitana.com/btjj/6884.html
当前位置: 巴勒斯坦 > 巴勒斯坦经济 > 双尾蝎组织利用选举话题对巴勒斯坦展开攻击
