月光鼠组织(Molerats )新近移动端攻击活动跟踪披露


 

一、概述

2020年12月,奇安信威胁情报中心移动安全团队捕获到Android平台上一款新型的的恶意RAT,分析显示该RAT最早出现于2017年,被持续使用至今,目前共有3个版本。经过溯源和关联后发现,该RAT属于Molerats APT组织特有的移动端武器,我们将其命名为GazaHT家族。根据奇安信威胁情报中心内部中文命名方式,我们将该组织重命名为月光鼠组织。

月光鼠组织来自中东某地区,主要针对以色列地区巴勒斯坦地区进行攻击。该组织在2012年10月针对以色列政府目标发起恶意软件攻击,导致色列警察部门为保险起见断开了该部门所有计算机的网络访问权限而引起了媒体的关注。

2013年国外安全厂商FireEye对将其披露并命名为Molerats ;此后该组织仍持续展开多个攻击活动,并被多家国内外安全厂商进行披露及命名,故拥有多个别名(别名:Gaza Hackers Team、Gaza cybergang、Gaza Cybergang、Operation Molerats、Extreme Jackal、Moonlight、ALUMINUM SARATOGA)。

以下我们披露一下月光鼠组织所使用的攻击战术,并对新近所用恶意代码做个技术分析。

 

二、载荷投递

通过对移动端的攻击样本分析可发现,月光鼠组织在移动端的攻击载荷采用伪装成谷歌应用商店相关应用和聊天应用的投递方式。

奇安信威胁情报中心移动安全团队通过追踪分析后发现:月光鼠组织其中伪装成的聊天应用攻击载荷主要存放在钓鱼网站ephoneservices[.]club,尽管该钓鱼网址标题说明“高质量,安全且可在Google Play上使用”,但一旦点击按钮便会直接下载恶意的攻击载荷。该网站的攻击载荷属于第二代RAT,另该网站在2020年7月被安全厂商ESET发布披露后不久失效。

 

三、攻击样本分析

月光鼠组织拥有自己特有的移动端GazaHT攻击样本家族,按照功能迭代已发展到现今的第三代,最新第三代已增加利用辅助功能对目前流行的社交应用进行窃取信息功能。GazaHT家族功能完善,可以获取通话记录,短信信息,照片,通讯录,地理位置信息,通话录音等。攻击者可以根据自身能力扩展更丰富的监控功能,且可以通过下发指令便捷的对受害用户手机进行远程操控。

主要远控指令功能
S1是否开启信息收集
S2保留字段
S3保留字段
S4短信窃取
S5照片上传
S6录音
S7通话录音
S8窃取社交应用聊天内容信息

远程控制指令和对应功能关系表

第一代

第一代版本出现于2017年8月,已具备主体窃取信息功能功能,代码未混淆。

同时C&C域名也直接明文存储在代码中。

第二代

第二代版本出现于2018年3月,其在第一代基础上开始窃取功能主体模块化拆分,同时对C&C地址进行AES加密存储,并开启混淆对抗分析。

第三代

第三代版本在2019年10月开始准备,真正被发现于2020年12月,其在第二代基础上新增包含利用AccessibilityService功能对目前流行的社交应用(whatsapp、telegram、facebook)进行窃取信息的功能。


 

四、攻击组织溯源分析

基于奇安信威胁情报中心移动安全团队的分析系统和红雨滴APT样本关联系统的追踪分析,奇安信威胁情报中心判断本次攻击活动归属为月光鼠组织(Molerats)。主要依据如下:

(1) 样本针对阿拉伯语用户,可以推测该攻击主要针对中东国家。

(2) 其中的一个C&C为pal4u.net,而pal4u.net 是该组织的一个常用资产。另其最新的C&C采用了巴勒斯坦Nepras For Media & IT域名商的域名systembackups.info,也间接印证符合该组织的地区身份。

(3) 其最新的样本签名带有“Palestine”及“gaza”,也间接印证符合该组织的地区身份。

 

五、 总结

自 2012 年以来月光鼠组织一直在中东地区活动,其主要使用网络钓鱼主题和诱骗文件的分析开展攻击。网络钓鱼可谓老生常谈,却仍是攻击者屡试不爽的惯用手法,显然还是最有效的战术之一。应对这些攻击不仅需要安全厂商的各类安全产品的防护和到位的安全服务支持,更离不开企业对内部自身安全规程及企业内部员工安全防范意识的持续建设。针对普通用户如何避免遭受移动端上的攻击,奇安信威胁情报中心移动安全团队提供以下防护建议:

(1) 在正规的应用商店下载应用。国内的用户可以在手机自带的应用商店下载,国外用户可以在Google Play下载。不要安装不可信来源的应用、不要随便点击不明URL或者扫描安全性未知的二维码。

(2) 移动设备及时在可信网络环境下进行安全更新,不要轻易使用不可信的网络环境。

(3) 对请求应用安装权限、激活设备管理器等权限的应用要特别谨慎,一般来说普通应用不会请求这些权限,特别是设备管理器,正常的应用机会没有这个需求。

(4) 确保安装有手机安全软件,进行实时保护个人财产安全;如安装奇安信移动安全产品。

 

附录A:IOC

文件Hash名称RAT版本
2c5cd58126290a04b4dffe87d5240ba0Google Play Store第一代GazaHT
989da9cf729db914c03cfadb25418e0aGoogle Play Store第二代GazaHT
5770a9c2504ff5f424aa2d563c98a12eGoogle Play Store第二代GazaHT
c61aa3ab6d335ef45dd4345b7f3ce276Google Play Store第二代GazaHT
2b6f2c53e206544a707241c9e157f9ddWelcome第二代GazaHT
8698967ce83b4ac06a509a9fbfef5281Welcome第二代GazaHT
9006bfc208a6ed36f7a75816e2b31ca8Google Services第三代GazaHT
C&C地址用途备注
systembackups.infoC2地址下发指令、数据回传
emobileservices.clubC2地址下发指令、数据回传
pal4u.netC2地址下发指令、数据回传

奇安信威胁情报中心

奇安信威胁情报中心对外服务平台网址为https://ti.qianxin.com/ 。服务平台以海量多维度网络空间安全数据为基础,为安全分析人员及各类企业用户提供基础数据的查询,攻击线索拓展,事件背景研判,攻击组织解析,研究报告下载等多种维度的威胁情报数据与威胁情报服务。

微信公众号:奇安信威胁情报中心  奇安信病毒响应中心

     

奇安信威胁情报中心移动安全团队

奇安信威胁情报中心移动安全团队一直致力移动安全领域及Android安全生态的研究。目前,奇安信的移动安全产品除了可以查杀常见的移动端病毒木马,也可以精准查杀时下流行的刷量、诈骗、博彩、违规、色情等黑产类软件。

 

参考信息

  1. https://aptmap.netlify.app/#Molerats

  2. https://www.fireeye.com/blog/threat-research/2013/08/operation-molerats-middle-east-cyber-attacks-using-poison-ivy.html

  3. https://securelist.com/gaza-cybergang-updated-2017-activity/82765/

  4. https://ti.qianxin.com/blog/articles/suspected-molerats-new-attack-in-the-middle-east/

  5. https://www.welivesecurity.com/2020/07/14/welcome-chat-secure-messaging-app-nothing-further-truth

(完)