针对巴以地区长达三年的攻击活动揭露

 

0x01   主要发现

近期,360烽火实验室发现一起针对巴以地区攻击活动,攻击者使用了多种商业间谍软件,同时也基于开源代码构建了独有的间谍软件。通过分析,我们发现该攻击活动自2018年开始,并持续至今。根据攻击者使用的伪装对象,我们推测攻击目标可能为巴以地区。

 

0x02   伪装对象

攻击者通过将合法的应用打包进间谍软件进行伪装,伪装对象为各种社交应用、阿克萨电台、阿克萨清真寺、耶路撒冷指南、PDF查看器等应用。

图1 伪装对象图标

 

0x03   载荷投递

社交工具

Threema是一款付费的开源端到端加密即时通讯应用程序,我们发现攻击者会将间谍软件伪装成Threema应用进行攻击活动。通过伪装对象的CC信息,我们发现了疑似攻击者使用的钓鱼链接,该钓鱼链接伪装成Facebook网站。我们推测攻击者可能使用了Facebook进行传播钓鱼网站。下图为开源项目pihole-blocklists中记录的疑似攻击者使用的钓鱼网站。

图2 pihole-blocklists部分内容

另外,在部分受害者手机中,样本出现在WhatsApp文档路径中,进一步说明攻击者使用社交工具进行载荷投递。

图3 文件路径

Google Drive

在关联溯源中,我们发现一个名为“تسريب-اجتماع-القائد-محمد-دحلان-و-المخابرات-المصريه.pdf(Mohammed Dahlan 指挥官和埃及情报会议 (MoM) 泄漏.pdf)”的文档,该文档内容模糊不清,并包含一个阿拉伯语段落,旨在引诱受害者点击Google Drive链接下载Adobe Reader更新。其中Google Drive 链接指向一个名为”com.adobe.reader.apk”的恶意APK文件。文档内容如下图所示。

图4 文档内容

 

0x04   样本分析

攻击者使用了多个商业间谍软件进行攻击活动,包括SpyNote、Mobihok、WH-RAT、888RAT。除此之外还用了开源渗透测试框架Metasploit。

我们还发现攻击者自研的间谍软件EsecretRAT,EsecretRAT是攻击者开发的一款间谍软件,由于该间谍软件伪装成secret chat应用,并且APK包名中包含 Esecret 字符串,我们将该间谍软件命名为EsecretRAT。

SpyNote

SpyNote 是一款功能强大的商业间谍软件,具有强大的的功能,以及管理平台。其主要功能为:

– 文件管理

– 短信管理

– 通话记录管理

– 联系人管理

– 位置管理

– 账号管理

– 键盘记录

– 手机设置

– 拨打电话

– 拍照、录音、录像

– 实时录音

– 实时录像

– 获取应用列表

– 执行 shell 命令

– 聊天功能

SpyNote控制端界面如下图所示:

图5 SpyNote控制端

Mobihok

Mobihok是一款基于SpyNote源码修改的商业间谍软件,除了具备SpyNote强大的功能外,还进行了一些免杀处理。其主要功能与SpyNote类似,控制端界面如下图所示:

图6 Mobihok控制端

WH-RAT

WH-RAT是一款包含Android和Windows的远控工具,Android平台远控工具基于SpyNote源码二次开发,Windows平台远控基于NjRAT源码二次开发,其Android远控主要功能与SpyNote基本一致。控制端界面如下图所示:

图7 WH-RAT Android 控制端

图8 WH-RAT Windows 控制端

888RAT

888RAT是一款支持Windows、Android和Linux平台的商业远控工具,其Android 远控主要有以下功能:

– 文件管理

– 拍照、录音、录像

– GPS位置跟踪

– 获取联系人

– 获取短信

– 获取通话记录

– 获取已安装应用

– 电量监控

– 执行shell命令

– 获取设备信息

– 弹出通知消息

– 播放音频

– Facebook钓鱼

– 账号管理

– 非ROOT权限截图

下图为其官网的部分功能介绍:

图9 888RAT功能介绍

控制端界面如下图所示:

图10 888RAT控制端

Metasploit

Metasploit是一个开源的渗透测试框架,它本身附带数百个已知软件漏洞的专业级漏洞攻击工具,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。Metasploit Android payload 则是Metasploit框架针对Android 系统的一个有效负载,可以针对Android设备的渗透工具。攻击者将Metasploit打包进正常的APK中进行攻击活动,其包结构如下图所示。

图11 插入Metasploit的包结构

该APK通过动态加载恶意模块实现隐私窃取功能,其主要功能有:

– 获取通话记录

– 获取联系人

– 获取短信

– 隐藏图标

– 获取位置

– 设置壁纸

– 获取已安装应用列表

– 启动应用

– 卸载应用(API的方式)

– 剪切板管理

– 文件管理

– 录音、录像、拍照

– 实时录音

– 实时录像

– 获取设备信息

– 获取网络信息

– 截图

– 检测ROOT权限

恶意模块源码结构如下图所示:

图12 Metasploit payload源码结构

EsecretRAT

EsecretRAT是基于开源的ChatAppTutorial开发的间谍软件,攻击者在ChatAppTutorial原有的代码的基础上添加了部分恶意代码,实现了间谍软件功能。下图为ChatAppTutorial 和 EsecretRAT 的包结构:

图13 左边为ChatAppTutorial,右边为EsecretRAT

EsecretRAT主要恶意功能为:

– 获取联系人

– 获取短信

– 获取设备IMEI

– 获取位置信息

– 获取IP

– 获取DCIM目录中所有的照片

 

0x05   溯源关联

在载荷投递章节中我们提到一个文件“تسريب-اجتماع-القائد-محمد-دحلان-و-المخابرات-المصريه.pdf(Mohammed Dahlan 指挥官和埃及情报会议 (MoM) 泄漏.pdf)”,该文件创建时间为2018年9月,并且于2018年10月上传至VT平台。文件名中的Mohammed Dahlan是巴勒斯坦政治家,曾担任巴勒斯坦权力机构在加沙的预防性安全部队的负责人。作为法塔赫领导人时,他在加沙残酷镇压哈马斯。2018年6月哈马斯与以色列因为禁运发生武装冲突,彼时攻击者用该文件作为诱饵进行攻击,可能与此有关,通过网络攻击进行情报获取。

 

0x06   总结

由于宗教信仰、地缘政治、历史原因等因素,巴以地区冲突不断,各方都在试图通过网络情报和网络攻击活动占领先机,此前我们就发现并揭露了该地区的APT组织双尾蝎(APT-C-23)的多次攻击活动。此次攻击活动虽然没有判断攻击者的身份有利证据,但是我们相信,随着我们的持续挖掘,隐藏于背后的攻击者终将浮出水面。

 

0x07   IOC

MD5

– e8c58ef7416592ff41624e8308cd6288

– cb7cb6e9473012d74e826b1177c68934

– 0ed27d29fcb0e4914be7b2104e36c4a6

– 1b9773f6ff6e3f16fb40160f42f037cc

– 60e392f90c4aa67c26cff92b167cf8b3

– 85721410f4761db6d19ee501debbe869

– 33188e34b486e3505471d9bbcbf02353

– 24a6955c9126a7306e0a749c17f16196

– 3d8f7e4b5e73c5ef79c0a02412a0fbb8

– 3a9d66fe2ce6357e3395fa6fc8f9db04

– d03da3b1833964998fbcbba4d06e98eb

– e610b9329f0541763ffbc951bb67993e

– d258c0de8d0337874e95e5d7915faadd

– f9161d0d3829be60872989874a97e2c7

– e81134efafbb73b628410b5025714f90

– ae9aa8ecfa96277ba39262629a443867

– 5d2f54aeec481c54c55dc0686a468ea8

– 1dcf5da15cceb97198d10bcf44d55e6a

– 1bba055fc730940f6cb36345daf9f1b9

– 3f5ceaa0417119f7707da38fc5e60b3d

– 0dc47d791ad9ecbab3aedd914cb22a81

– d947323c3c6070c748670d7cb49ca752

– 28b96f5cd113ca1d498fcfc2dcc0a632

– 4fa36fe5d8bb346339ef01030a95ea46

– d22e3f20b96b7d85b52b16959b76d9ca

– 2f14c65ac74f72c3498f49aab0257193

– c1160f53542d65faa446f7a44c8c3208

– 03839f333467a5eff5cfd2c4138c4bcb

– 2a6cb0f6f02761732c190dd3398a3cf6

– b923ba46fffd3f79d5118f6357bee654

– 501d8f38e0112581b2d526a089a2fa01

– b5c88cd72006094581cce12eec24781d

– 20fc48f6f258cfc66d366cba38167c2a

– 111bb02c6a7c071dde184ba5a16c9ce2

– 0d7173ac47bf8c8baf60c8b684af4613

– a021c35bd7a1b657ddc50017f59984bb

– 658c03b62554ef152fe6b60a6aedc7fb

– 5a5f7aefbaf36e0e3bcc5f9945f98b63

– b76ff92cc58ef7d8a70b6642519a1bdd

– ca126e58f704854ea208acca0dd23a69

– 2e09ad268706cb4503cc46c78a63c149

– 59b2f3788b7c44b169193e8de4aa51eb

– 455bca7b306436c9a94d3d8aa10f4a5a

– 4c7b1be35440aab2fe99efeb980773d0

– 2776223ef47c52fbb3c4975789ceb5fc

– 4489b0fd8ff8647e0539c19a583d4e51

– f88d2074a80cca7ba8e97aeb24668305

– 9c790563783b54d4266cc87ae5b7ad7e

– 7d0554892c9f8a261402e3afa73f072f

– 349ed536e635dc56b507e292eb30d6b4

C&C

– cy.alhaneny.com:1150

– abood123.ddns.net:1145

– agent47.dvrcam.info:1196

– quds20212020pal.ddns.net:1199

– aldaet.dvrcam.info:1196

– states.mysecuritycamera.com:1196

– spynote6.ddns.net:1338

– netbot.no-ip.info:1337

– mobihok.ddns.net:1337

– firas20199.ddns.net:1197

– alaahamayil96.ddns.net:1177

– scream.ddns.net:1993

– 213.244.123.150:1150

– aldaet.ddns.net:1150

– scr.selfip.net:1166

– tcp:213.244.123.150:1150

– firas2020.ddns.net:1196

– ffaabb.ddns.net:1188

– firas2019.ddns.net:1196

– 213.244.123.150:4444

– take123.hopto.org:4444

– kh.njrat.info:1302

– hadra5.ddns.net:1123

– agentra3.dvrcam.info:6666

– hacked-2018.ddns.net:2222

– is54sa.ddns.net:1188

– http://alkhelafeh.com/cc.php

– https://threemasecure.info/cc.php

 

0x08   产品侧解决方案

若想了解更多产品信息或有相关业务需求,可移步至http://360.net。

 

0x09   时间线

2021-10-25 360烽火实验室发布通告

 

0x0a   参考链接

1、 https://en.wikipedia.org/wiki/Mohammed_Dahlan

2、 https://jcpa.org/hamas-will-go-for-broke-in-gaza/

3、 https://github.com/KODDevYouTube/ChatAppTutorial

4、 https://888-tools.com/product/888-rat/

5、 https://www.spynote.us/

6、 https://whcyberspace.com/

7、 https://github.com/wh-Cyberspace/WH-RAT

8、 https://github.com/KitsapCreator/pihole-blocklists

(完)