利刃鷹組織-盤旋於中東西亞網空的針對性攻擊組織活動揭露

一、  概述

近期奇安信威脅情報中心移動安全團隊注意到一波針對伊斯蘭國、蓋達組織、庫德族群和土庫曼族群進行持續攻擊控制的活動，時間跨度從自2019年3月起至今，通過從多源信息的交叉比對我們推測攻擊組織來自中東某國，將其命名為利刃鷹組織。

主要時間線如下：

圖1.1    利刃鷹組織針對的特殊攻擊目標部分攻擊時間線

利刃鷹組織主要使用開源和商業攻擊軟體，平臺涵蓋Windows和Android，截止目前我們一共捕獲到Android平臺攻擊樣本43個，Windows平臺攻擊樣本26個，涉及的C&C域名3個。

二、  攻擊目標

在對移動端的攻擊樣本分析過程中，我們發現到利刃鷹組織具有明顯的攻擊目標指向性，旨在對其目標實現監控及反監控，其攻擊包含針對多個特色目標。

（一）     針對伊斯蘭國及蓋達組織等

利刃鷹組織投遞多個針對伊斯蘭國及蓋達組織的移動端RAT，這些攻擊樣本涉及到伊斯蘭國的主要新聞媒體Amaq及官方報紙Al-Naba；親蓋達組織的宣傳網站Minbar al-Tawhid wa』l-Jihad；伊斯蘭的Tube視頻應用等。

圖2.1    針對伊斯蘭國及蓋達組織的攻擊樣本應用圖標

（二）     針對庫德族群

其投遞兩種針對庫德族群的移動端RAT，這些攻擊樣本涉及到庫德斯坦的新聞雜誌Darka Mazi及一款庫德鍵盤應用。

圖2.2    針對庫德族群的攻擊樣本應用圖標

（三）     針對土庫曼族群

其投遞一款針對土庫曼人的移動端RAT，攻擊樣本涉及到伊拉克知名伊斯蘭研究教授宣傳網站應用，需要留意的是該網站採用的是土庫曼語。特殊的地區人物和特殊的語言，結合地區的局勢情況，這對鎖定攻擊者身份推測大有幫助。

圖2.3    針對土庫曼族群的攻擊樣本應用圖標

圖2.4    土庫曼語的伊拉克知名伊斯蘭研究教授宣傳網站

（四）    疑似還針對土耳其人

其投遞一款偽裝成流行的條形碼掃描應用的移動端RAT，需要注意的是該樣本留有特殊標識「BarcodeScanner Turkey」，疑似還針對土耳其人。

圖2.5    疑似針對土耳其人的攻擊樣本應用圖標 

圖2.6    攻擊樣本留下的特殊標識「Barcode Scanner Turkey」

（五）      疑似針對區域性的監控及反監控

其攻擊樣本還涉及到多種常見行業應用，包含電視應用、社交保護應用、保險應用、網絡應用及遊戲應用等，疑似來實現對其關注的區域進行範圍監控；另還涉及到多款監控輔助應用，包含位置查看、電話號碼定位、自動通話記錄和屏幕錄製等，疑似來實現反監控。

圖2.7    疑似進行區域監控的涉及多種常見行業的攻擊樣本應用圖標

圖2.8    疑似實現反監控的攻擊樣本應用圖標

三、  載荷投遞

基於奇安信威脅情報中心移動安全團隊的內部分析系統和奇安信威脅情報平臺（https://ti.qianxin.com/）關聯繫統等追蹤分析，我們發現到利刃鷹組織攻擊載荷主要存放在第三方存儲網站上（up4net.com），再通過生成對應短連結，最後發布到釣魚信息中進行載荷投遞。如曾在社交平臺Fackbook上進行的針對庫德人的載荷投遞過程可參見下圖。

圖3.1    在Facebook上發布釣魚信息的方式 

圖3.2    在Facebook上發布的載荷短連結及對應的樣本關係

 

四、  攻擊樣本分析

利刃鷹組織投入Windows和Android平臺的攻擊RAT，目前已被發現有五種商業RAT。其中Windows平臺有四種（Bladabindi 、Remcos 、Loda 和Warzone），均是常見的RAT，故在此不再重複展開分析。Android平臺有兩種（SpyNote和Gaza007）。

（一）    SpyNote

SpyNote是一款流行的移動端商業RAT。其支持的功能多樣，最新收費版售價可觀，根據不同場景需求目前官方有三種價位($499、$4000和$6000)。其還帶有免費版，另有早期版本源碼被洩露，其多個破解版本和修改版本已在多個黑客網站上泛濫傳播。

圖4.1       SpyNote被控端代碼結構(左)和控制端管理界面(右)

（二）    Gaza007

Gaza007是一款2019年誕生的移動端RAT。目前被發現最早於2019年3月出現，隨後被多個攻擊者投入使用，目前數量已有千級，我們通過其默認的籤名信息進行命名為「Gaza007」。其類似於Spynote，功能也十分強大，現已支持近四十種遠程指令，在初次登場後不久便迅速更新集成有專門釣魚Fackbook的功能。根據其採用的證書籤名信息及其主要投入的攻擊區域來推測，其大概率是加沙黑客所製作的商業RAT。

指令

指令功能

Unistxcr

跳轉到指定應用的詳情頁面

Dowsizetr

竊取/sdcard/DCIM/.dat/目錄下指定文件其文件大小信息到C＆C伺服器

DOWdeletx

刪除/sdcard/DCIM/.dat/目錄下指定文件

Xr7aou

竊取/sdcard/DCIM/.dat/目錄下指定文件到C＆C伺服器

Caspylistx

竊取/sdcard/DCIM/.dat/目錄下所有文件列表名稱信息

Spxcheck

檢查是否成功開啟或關閉竊取呼叫詳細信息服務

S8p8y0

關閉竊取呼叫詳細信息服務

Sxpxy1

開啟竊取呼叫詳細信息服務

screXmex

進行截屏並竊取

Batrxiops

監控電池狀態

L4oclOCMAWS

監控受害者地理位置

FdelSRRT

刪除盜取到的受害者Facebook憑證文件

Chkstzeaw

檢查Facebook應用是否運行

IODBSSUEEZ

將已盜取到的受害者Facebook憑據文件發送到C＆C伺服器

GUIFXB

啟動釣魚的Facebook登錄界面

LUNAPXER

響應啟動到另一個應用程式

Gapxplister

獲取所有已安裝應用程式的列表

DOTRall8xxe

對竊取信息目錄下所有文件進行壓縮到/DCIM/目錄後再上傳給C＆C伺服器

Acouxacour

竊取受害者設備帳戶信息

Fimxmiisx

進行拍照並竊取

Scxreexcv4

獲取相機情況信息

micmokmi8x

進行錄音並竊取

DTXXTEGE3

刪除/sdcard/目錄下指定文件

ODDSEe

啟動指定的Activity

Yufsssp

竊取地理位置的經緯度

Getsssspo

竊取/sdcard/目錄下指定文件其文件大小信息到C＆C伺服器

DXCXIXM

竊取/sdcard/DCIM/目錄下所有文件列表名稱信息

f5iledowqqww

竊取/sdcard/目錄下指定文件到C＆C伺服器

SDgex8se

竊取/sdcard/目錄下所有文件列表名稱信息

PHOCAs7

響應撥打指定的電話號碼

Gxextsxms

竊取收件箱簡訊信息列表

Msppossag

響應給指定的手機發送指定的簡訊消息

Getconstactx

竊取通訊錄信息列表

Rinxgosa

播放鈴聲

Shetermix

響應執行指定的命令

bithsssp64

響應執行指定的腳本文件

Deldatall8

刪除/sdcard/DCIM/.dat/目錄下所有文件

M0xSSw9

響應彈出指定的Toast消息

表4.2    Gaza007功能指令表

圖4.3    Gaza007釣魚Fackbook界面(左)及對應的實現代碼片段(右)

 

五、  攻擊組織溯源分析

利刃鷹組織具有明顯的針對特殊群體目標，顯然不是普通的黑客組織的攻擊需求，我們認為該組織疑似是來自中東某國國家背景下實行的監控活動。主要依據如下：

1、熟悉某個地區的多種語言及背景，針對地區的庫德族群、蓋達組織及土庫曼族群，並對該區域疑似實行監控及反監控的攻擊。

2、 結合中東某國的歷史背景及地緣關係，攻擊活動恰好符合其所需。

3、三個C2的歷史對應IP多次顯示出位於中東某國，並有多次重疊，顯然並不是一種巧合。

圖5.1    選取的IOC關聯圖

六、  總結

中東地區由於宗教種族和地緣政治關係，一直是多個APT組織的高度活躍地區。此次的利刃鷹組織也無疑又是其中的一個新代表。需注意的網絡釣魚可謂老生常談，卻仍是攻擊者屢試不爽的慣用手法，最有效的武器。

應對這些攻擊不僅需要安全廠商的各類安全產品的防護和到位的安全服務支持，更離不開企業對內部自身安全規程及企業內部員工安全防範意識的持續建設。針對普通用戶如何避免遭受移動端上的攻擊，奇安信威脅情報中心移動安全團隊提供以下防護建議：

1、在正規的應用商店下載應用。國內的用戶可以在手機自帶的應用商店下載，國外用戶可以在Google Play下載。不要安裝不可信來源的應用、不要隨便點擊不明URL或者掃描安全性未知的二維碼。。

2、行動裝置及時在可信網絡環境下進行安全更新，不要輕易使用外來的網絡環境。

3、對請求應用安裝權限、激活設備管理器等權限的應用要特別謹慎，一般來說普通應用不會請求這些權限，特別是設備管理器，正常的應用機會沒有這個需求。

4、確保安裝有手機安全軟體，進行實時保護個人財產安全；如安裝奇安信移動安全產品。

目前，基於奇安信威脅情報中心的威脅情報數據的全線產品，包括奇安信威脅情報平臺（TIP）、天擎、天眼高級威脅檢測系統、奇安信NGSOC等，都已經支持對此類攻擊的精確檢測。

 

附錄A：IOC

APK 樣本文件MD5

8967cf93287a93f747971689cf33e674

fe7266f1ff31c0faf8f650bfff8bd267

6034cad5ec2badd4ad3f009f33d2d86e

5e1e0e5247fd9b509ba25cfb8f2c442b

9b6c662447aea005a12fecf5d8e5734b

7d4991317dd0e67daa70a124c62d257c

271606d7a822610be10830fd13fc94cd

52d592f68dc64c8f881deddebdae7cb2

6f2cf52941fa837abd01fd71a16c32ae

e962674bc94fc7aff06e7fe2a1546f92

397921cd0df96ea2b46cb50352a61691

c31f5c84fb2a140ce26ebe2a5a2426b6

931efe504e5e6c58a738fea5802c6e38

bf9d2ea0329915b6498db7373e90dc14

253ea0a6889a8f2b217f0ae6f436ebc3

555ce971658adde6d5cec86edfbf2a8b

11024c3ccf7cbbf89c820327c90b7133

4303d5073d0ee1d69b19c5069d5613d4

2d0c8974b1942295c07f49c8f4a5b7c5

9a0f72cdc9a2846da937676e1efe8bf4

67b20f7d47a18128e8eaebd9c075f4b3

7462d3be5f649b52794ca5a1f1d201f1

bb7e661a983f491c63d0337c5da7b291

d52ecc2c3c57401e2170184b324d8a99

e9d2370a8ffb54ad7de6b77a1535e21b

5715d5d0ede440f22c3a468e3003a8bb

8c543bfa2f35df239b307fc3694bf9f1

7da70a17c9d804e4e4f6266f5e2f890d

38b018fbb4d5b1780a2f356238d0f1ea

dc97856c031fa4e0126b6786cd3fbe8c

bea771a408f3b3bfff4887704305187c

90e4ef393b9a2a4ba79148f9d0646d92

ef875da5b37b8e49f41e8844ec1135d7

2945b8f6e3310eb9b821276cfb30a188

1c499b3bb646868913e866190c4784a2

b20ad69df52872d5560bb3147abeea27

cf5e2a1a953248ffd6e192ca80485674

02b8767d6137cb3756fbc095c243cccf

bfdc838fa7c75a0113baf7215a72b97f

d6b36254646e2c5e0c969c56a3f876fe

010831176ad5f06a325a9ece278c386f

40678deceecee7c6cdb6e905a7f8c403

8a3d2bfcda27d2b2e4104812abd14f6d

C2伺服器域名

l3d3r.ddns.net

alex00.ddns.net

adam9.ddns.net

PC樣本文件MD5

4e81711c961011e6328043b8bdce9098

6bb4dce616edfe8754e962df9f89295b

45ecde74ee167a88c0f80009ea7c61f3

b1666d9ae06990298fbd23fa99728a56

12db000b7591360350f85a225e0dcfc3

d39da3d21f757c622171992aa9211b40

1c271931c694b9eeb4da1ca3f9d214ec

d9b58f64930a8d92b4446d8f66831225

4c9fbdbee78f7410b9e87d8c90d19578

68e4981bb2ea02eec44ada103129a4c0

95c94b2056f4059090c1c8ef65713f03

69baef3a6df42d6a5789948805b3fa88

9c18bf001316471165c9956313b2d230

8f37da085073082f99d3f25b2e303c44

a15fac323830b9a5e268af76acfe4232

ec11869aca4f08ad3fa5cbc58f94fbdc

d5e325cf6ce23f56c4841bb14beb40ee

aae6eb4a99d0f82977a187de1cf43a75

26c5b21fa2b01a0c9bc45fbead6ef36c

72ec17a2ac3b63d07269ddce9c7f38e0

639fc77077910cc6249da3b97258fa00

18acfe1a7038ca0c0229b0daf8060c6b

aa03d8ec5c2a4931386880275142ef9d

f800d75dd85d463f932c5d10b5b2fa0c

c45f2b6f032ac89553374ec9a4916966

30b1e448b5e7144024afafee0a8275db

 

附錄B：奇安信威脅情報中心

奇安信威脅情報中心是北京奇安信科技有限公司（奇安信集團）旗下的威脅情報整合專業機構。該中心以業界領先的安全大數據資源為基礎，基於奇安信長期積累的核心安全技術，依託亞太地區頂級的安全人才團隊，通過強大的大數據能力，實現全網威脅情報的即時、全面、深入的整合與分析，為企業和機構提供安全管理與防護的網絡威脅預警與情報。

 

奇安信威脅情報中心對外服務平臺網址為https://ti.qianxin.com/。服務平臺以海量多維度網絡空間安全數據為基礎，為安全分析人員及各類企業用戶提供基礎數據的查詢，攻擊線索拓展，事件背景研判，攻擊組織解析，研究報告下載等多種維度的威脅情報數據與威脅情報服務。

微信公眾號：

奇安信威脅情報中心：                                           奇安信病毒響應中心：

                                             

     

附錄C：奇安信威脅情報中心移動安全團隊

奇安信威脅情報中心移動安全團隊一直致力移動安全領域及Android安全生態的研究。目前，奇安信的移動安全產品除了可以查殺常見的移動端病毒木馬，也可以精準查殺時下流行的刷量、詐騙、博彩、違規、色情等黑產類軟體。通過其內部分析系統可以有效支持對溯源分析等追蹤。通過其高價值攻擊發現流程已捕獲到多起攻擊事件，並在今年發布了多篇移動黑產報告，對外披露了三個APT組織活動，其中兩個是首發的新APT組織（諾崇獅組織和此次的利刃鷹組織）。未來我們還會持續走在全球移動安全研究的前沿，第一時間追蹤分析最新的移動安全事件、對國內移動相關的黑灰產攻擊進行深入挖掘和跟蹤，為維護移動端上的網絡安全砥礪前行。

 

附錄D：奇安信移動產品介紹

奇安信移動終端安全管理系統（天機）是面向公安、司法、政府、金融、運營商、能源、製造等行業客戶，具有強終端管控和強終端安全特性的移動終端安全管理產品。產品基於奇安信在海量移動終端上的安全技術積澱與運營經驗，從硬體、OS、應用、數據到鏈路等多層次的安全防護方案，確保企業數據和應用在移動終端的安全性。

 

奇安信移動態勢感知系統是由奇安信態勢感知事業部及其合作夥伴奇安信威脅情報中心移動團隊合力推出的一個移動態勢感知管理產品。不同於傳統移動安全廠商著重於APP生產，發布環節，為客戶提供APP加固、檢測、分析等；移動態勢感知面向具有監管責任的客戶，更加著重於APP的下載，使用環節，摸清轄區範圍內APP的使用情況，給客戶提供APP違法檢測、合規性分析、溯源等功能。