從2015年7月起至今,軍刀獅組織(APT-C-38)在中東地區展開了有組織、有計劃、針對性的不間斷攻擊。其攻擊平臺為Windows和Android,截止目前360烽火實驗室(360 Beaconlab)一共捕獲了Android平臺攻擊樣本25個,Windows平臺攻擊樣本4個,涉及的C2域名16個。
2018年5月,Kaspersky安全廠商發表報告《Who’s who in the Zoo》,首次批露該組織為一個未歸屬的專注於中東目標的間諜活動組織,並命名ZooPark,涉及的攻擊武器共包含四個迭代版本的Android端RAT,載荷投遞方式包括水坑和Telegram頻道。
2019年,360烽火實驗室捕獲到軍刀獅組織的最新攻擊活動,除發現Android端攻擊外還發現該組織帶有Windows端攻擊,其中Android端RAT仍屬於第四代。我們結合APT攻擊的地緣政治因素、攻擊組織使用的語言以及該組織發起的歷史攻擊活動,分析後認為該組織是位於西亞的中東某國家背景的APT組織。另在此感謝我們的兄弟團隊----360高級威脅應對團隊對本報告Windows端RAT內容的完成。
由於軍刀獅組織的攻擊目標有一個主要的特色目標是西亞中東某國的庫德人,另Windows端RAT包含的PDB路徑下出現多次的「Saber」,而亞洲獅為該中東國家的代表動物,結合該組織的一些其它特點以及360對 APT 組織的命名規則,我們將該組織命名為軍刀獅(APT-C-38)。
圖1.1 軍刀獅關鍵攻擊活動時間事件點
軍刀獅組織載荷投遞的方式主要為水坑攻擊和Telegram頻道。需要注意的是該組織在2018年5月初被首次披漏後,攻擊組織在當月月底使用了新一批的網絡基礎設施。
目前已發現有兩家在中東地區流行的阿拉伯新聞報紙網站(科威特Annahar和埃及Al-Nahar)曾被該組織用來水坑攻擊。
圖2.1 埃及Al-Nahar網站
除了上面兩個針對指定中東地區阿拉伯國家的水坑攻擊外,我們還發現到該組織在攻擊其主要的攻擊目標中東某國的庫德人時多採用Telegram頻道傳播(如伊斯蘭議會前對庫德斯坦省選舉攻擊和庫德斯坦省馬裡萬薩南達季的抗議活動攻擊等)。
圖2.2 伊斯蘭議會前對庫德斯坦省選舉攻擊的Telegram頻道
至今軍刀獅組織已經使用了多個網絡基礎設施。
表1 軍刀獅組織使用的網絡基礎設施
需要注意的是其在2018年5月23日新申請了一批網絡基礎設施,最新的移動端攻擊載荷於2019年3月部署在其中的一個伺服器,這批中間伺服器共有4個,有3個至今仍存活且解析後實對應同一IP,這批伺服器充當著PC端和移動端RAT的中間伺服器角色。
圖2.3 被披露後軍刀獅組織當月新部署的一批網絡基礎設施
為更好的躲避被察覺到,除了對文件圖標進行偽裝外,還會在RAT啟動時顯示出正常的APP界面,目前四個迭代版本的Android端RAT,運行後均會展示出正常界面,但在運行時或者接收到指定廣播時,便開啟在後臺進行的間諜活動。
圖3.1 第二代和第四代的Android端RAT運行後展示舉例
圖3.2 偽裝的應用軟體圖標
截至目前,軍刀獅組織已使用到針對Android和Windows平臺的不同RAT,經過分析,我們認為最新的Android端RAT和PC端RAT應該購買自同一個商業開發組織,其中一名開發者暱稱為「Apasec」。
Android端共使用到四個迭代的RAT,本報告中我們僅介紹最新攻擊活動使用的第四代RAT,我們命為UnitMM,該RAT目前僅在軍刀獅組織中出現,其它版本RAT的信息可參考本報告前面提到的Kaspersky安全廠商報告。
UnitMM
軍刀獅組織的第四代RAT。根據該RAT包含的類名和使用到的資料庫名等,我們命名為UnitMM。最新版本的UnitMM通過默認的數十個功能配置,進行控制竊取簡訊、通訊錄、地理位置、瀏覽器書籤和搜索歷史記錄、剪切板信息、外部指定的應用程式數據、捕捉照片/視頻/音頻等多種惡意行為。
此外UnitMM還能響應來自C2的指定指令進行交互。
表2 C2指令與功能對應表
指令功能2更新惡意功能配置4執行shell命令6將指定的文件/文件夾壓縮並保存到預設目錄8將任務內容寫入臨時zip文件,從中提取所有內容並將其刪除10將指定的文件/文件夾複製到指定的目錄12將指定的文件/文件夾移動到指定的目錄14重命名指定的文件/文件夾16刪除指定的文件/文件夾18創建指定的目錄20靜默發送指定的內容簡訊到指定的號碼22撥打指定號碼電話24獲取指定路徑下的文件列表信息並將其保存到預設目錄26更新中間伺服器(C2隱寫圖片)列表Windows端目前發現到一種RAT,我們命為SpecialSaber,該RAT目前僅在軍刀獅組織中出現,共有4個。
SpecialSaber
這是一個之前未被曝光的RAT。根據最新版PDB路徑下的目錄名,我們命為SpecialSaber。其具有檢測殺軟(包括Bitdefender、Kaspersky、Avira、Avast、AVG、ClamWin、ESET、Norton、McAfee、Panda、Symantec),竊取多種瀏覽器信息、多種郵箱信息、用戶帳戶信息、磁碟文件信息等,並帶有鍵盤記錄及截屏等多種惡意行為。竊取後的各種信息後會以文件的形式保存在自身的工作目錄中,文件名為隨機生成的字符串,文件統一用指定的格式進行存儲。
圖4.1 用統一格式存儲的截圖文件舉例
表3 部分文件類型數值與文件含義對應表
文件類型數值對應的文件含義1屏幕截圖,jpeg格式2每個驅動器所有文件列表,包括目錄、文件名、文件大小信息3鍵盤記錄4FireFox、Chrome、IE、Opera、Safari、Thunderbird、Outlook的帳號密碼信息5FireFox、Chrome、IE、Opera、Safari瀏覽器的歷史記錄6FireFox、Chrome、IE、Opera、Safari瀏覽器的書籤信息7Yahoo Messenger帳號密碼信息8用戶帳戶列表和每個帳戶的詳細信息9邏輯驅動器的大小,剩餘空間和驅動器號10所有適配器的完整TCP/IP配置14Zip壓縮的文件24作業系統的詳細配置信息,包括殺軟信息、產品ID和硬體屬性等此外SpecialSaber還能響應來自C2的指定指令進行交互。
表4 部分C2指令與功能對應表
指令功能3創建指定的目錄4重命名指定的文件/文件夾6文件下載7文件壓縮加密 (Zip、AES)10獲取FireFox、Chrome、IE、Opera、Safari、Thunderbird、Outlook的帳號密碼信息11獲取FireFox、Chrome、IE、Opera、Safari瀏覽器的書籤信息12獲取FireFox、Chrome、IE、Opera、Safari瀏覽器的歷史記錄14獲取卸載程序列表的名稱16獲取邏輯驅動器的大小,剩餘空間和驅動器號17獲取所有適配器的完整TCP/IP配置18獲取用戶帳戶列表和每個帳戶的詳細信息25獲取Yahoo Messenger帳號密碼信息通過把Android端的UnitMM RAT和Windows端SpecialSaber RAT進行比較,我們看到兩者在C2通信環節採用了相似的手法,且兩者竊取的信息有特殊的共同性,我們認為兩者應該來自同一個商業開發組織。
此外我們在一個PDB的路徑中發現一個名為「Apasec」的開發者,我們發現這個名字曾多次出現在該組織移動端的C2 panels中,這個發現更加驗證了我們的判斷。
截至目前,360烽火實驗室發現此次軍刀獅組織攻擊活動影響到的國家共有7個,其中伊朗受影響最為嚴重,這和我們分析過程中發現到該國家的庫德人受到幾次的針對攻擊活動不無關係。
圖5.1 受攻擊的地區分布情況
基於攻擊者幾次特別的針對攻擊、使用的語言以及APT攻擊的地緣政治因素等,我們總結了該攻擊組織以下的畫像觀點:
熟悉波斯語,阿拉伯語,其中波斯語使用最為頻繁。
主要針對位於西亞的中東某國其某省的庫德人,能實時甚至提前對其某些時刻的活動進行部署相應的攻擊,此外也針對中東數個阿拉伯國家。
APT攻擊大部分基於內部局勢和地緣政治因素(本國或敵對國家)。
從受害者的背景以及攻擊行動的持續時間來看,攻擊者所關注的目標在政治和戰略層面有重大意義,且持續時間較長。
綜上所述,360烽火實驗室認為攻擊者為來自位於西亞的中東某國家背景的APT組織。
近幾年,我們看到APT攻擊隨著時代的發展,PC端不再是獨有的目標,越來越多的攻擊組織同時會把移動端作為攻擊的另一必備目標,甚至頻繁投入於中東和亞太地區部分國家背景支持下的網絡戰爭中。
APT攻擊發展迅速,尤其是移動端攻擊的發展。我們看到前幾年有些攻擊組織能力還比較簡陋,甚至一些安全廠商採用小貓等稱呼進行命名表示對對應攻擊組織攻擊能力的低度尊重。但隨著攻擊獲取到的價值效益,攻擊組織加大投入力度,我們看到攻擊越來越複雜,針對性和實效性越來越強,以前面的小貓為例進行形容的話,猶如年輕的小貓漸成成熟的獅子。此次軍刀獅組織無疑又是APT攻擊發展中的一個典型代表,另基於該組織的特殊背景及其隸屬國家當下的時勢我們認為該組織的攻擊可能會有新一輪的變化。
附錄A:樣本MD5
Android攻擊樣本MD5
0745b0957aab92b6a09645e076b4f339
1874aa71c9b13eec5b587e8ed6a71606
191cc5d165472ae19e665821be71c282
232bd3dde6914db0a3dbfc21ed178887
2d91f7d1eb0d32ece0a8b1715a70b4cd
345c2325dd633099f29b6d7141a4703d
451ff729eaa1cf26943a812cd37eb4ac
4d8ddec9243bc6ac0419c561fe413cfc
519018ecfc50c0cf6cd0c88cc41b2a69
5ad36f6dd060e52771a8e4a1dd90c50c
5efddd7f0fc2125e78a2ca18b68464ec
699a7eedd244f402303bcffdee1f0ed1
6a388edbce88bb0331ae875ceeb2f319
73b0a3cae8510dd2efeca7d22f730706
7b530999847bbf43e7d6cbb76da684ae
7d7ad116e6a42d4e518378e2313e9392
a7d00c8629079f944b61c4dd5c77c8fb
a856f9de281cadad7142828dda3843b4
ac4402e04de0949d7beed975db84e594
b44b91b14f176fbf93d998141931a4aa
b714b092d2f28fcf78ef8d02b46dbf9c
c7e4d75caa8e07847e47eadce229c288
cb67abd070ae188390fc040cbe60e677
e2f62b5acf3795a62e9d54e1301c4e7b
ec5a6f0e743f4b858aba9de96a33fb0c
Windows攻擊樣本MD5
5b0431bbebdc48d2fa37882f7343b011
31edb7591bfeeb72e0652c17781640af
58cc3935fbfdb2990304b99fbb919dad
848193568a48f5742135667e9842890a
附錄B:C&C
rhubarb2.com
rhubarb3.com
androidupdaters.com
dlgmail.com
dlstubes.com
googleupdators.com
adobeactiveupdates.com
adobeseupdater.com
dlstube.com
adobeactiveupdate.com
5.61.27.154
5.61.27.157
5.61.27.173
91.109.23.175
solar64.xp3.biz
entekhab10.xp3.biz
附錄C:PDB
C:\Users\apasec110\Desktop\Saber1\client\Saber1-Develop\Release\Saber1-Dev.pdb
C:\Users\apasec110\Desktop\Saber1\client\editing saber\Saber1-Develop-changed\Release\Saber1-Dev.pdb
C:\Users\M&M\Desktop\Saber1\Special-Saber1-Windows-Client-binder_backup(last stable socket communication)\Release\Saber1-Dev.pdb
C:\Users\M&M\Desktop\Saber1\Special-Saber1-Windows-Client-binder_backup\Release\Saber1-Dev.pdb
附錄D:參考連結
[1] https://en.wikipedia.org/wiki/Entekhab
[2] https://en.wikipedia.org/wiki/Islamic_Consultative_Assembly
[3] https://en.wikipedia.org/wiki/Annahar_(Kuwait)
[4] https://www.alnaharegypt.com/
[5] https://en.wikipedia.org/wiki/2017_Iraqi_Kurdistan_independence_referendum