一、受影响情况
通过对受害者的地理位置进行分析我们发现,攻击活动受影响的地区主要是孟加拉国和斯里兰卡,受影响的时间范围从2022年6月至2023年2月。
二、攻击活动分析
1.载荷投递分析
1.1.载荷投递方式
我们在该组织近期的攻击活动中观察到两种载荷投递方式:
1)通过社交应用直接传播
2)通过PDF诱饵文档联网下载
第一种方式最常用,通过受害者设备上落地的攻击样本路径可以知道,攻击者通过使用WhatsApp等社交软件直接传输伪装成聊天应用的APK安装包给受害者。
第二种方式为首次出现,即利用文档类文件作为诱饵进行移动样本的投递。
借助文档类文件作为诱饵,诱导用户打开后再联网下载其它恶意组件或攻击样本的方式通常是Windows端APT攻击最常用的投递手法。本次肚脑虫组织利用这种方式进行投递,可谓是创新之举。
1.2.诱饵文件分析
诱饵文件伪装成名称为“草稿”的PDF文档,当用户打开文档后,会直接显示一个提示框,提示用户需要安装一个插件才可查看。点击下载按钮后会使用浏览器打开指定URL。攻击者服务器会判断该URL请求端的平台类型,如果不是Android平台,则会返回错误页面,如果是Android平台,则会下载一个名称为PluginL26.9.22.apk(不同时间下载的版本不一样)的伪装成插件的Android安装包,该安装包即为肚脑虫组织专用的Android RAT。
图1 诱饵执行流程图
2.攻击样本分析
肚脑虫组织最新攻击样本与早期攻击样本的恶意功能和云端执行命令完全一致,可以执行云端下发的命令进行录音、上传联系人、通话记录、短信等恶意行为,相关命令和功能如下表。
图2 恶意包结构
三、技战法变化
1.编码方式
新样本对关键的字符串比如文件名、远控指令等使用了新的编码方式,不再沿用之前base64编码或硬编码的方法,而是采用了AES加密算法对关键的字符串进行加密存放,增加了分析和查杀难度。
图3 历史样本中硬编码文件名字符串
图4 新样本使用AES加密文件名字符串
2.攻击手法
在针对Android平台的历史攻击活动中,肚脑虫组织多利用钓鱼网站和社交媒体进行网络攻击。而本次我们发现,该组织创新性的使用了PDF诱饵文档下载Android端RAT样本。详细的投递执行过程在前面的章节进行了介绍,这里不再赘述。
结合该组织在Windows端和Android端常用投递方式我们推测,本次使用的PDF诱饵文档很可能是通过鱼叉式网络钓鱼邮件或者社交应用进行的传播。
附录IOC
Android MD5:
5c7fc3d04541b760c3d1add3cf57eea6
38638f5c206f9be4b0ca0d4f5ffb83fd
a504d25077d5942f6d0ddb971f65b271
84506587a0aae1168e3e8c0f3ebb8b9c
PDF MD5:
37627799932fc1506fbacf884c142186
f50f6cfa7409e4781e385ed383e893bf
bd4f4e52288f26530ce14392658d9b76
C&C:
gamz.flashnotederby.xyz
https://lite.sharelives.xyz/public/onlineservice/getme/new/dra.php?id=H2
https://easy.sharelives.xyz/onlineservice/getme/new/dra.php?id=A7
https://lite.sharelives.xyz/public/ringchat/store/RingChat_v4.1Q.apk
https://lite.sharelives.xyz/public/onlineservice/getme/new/PluginL12.9.22.apk
https://lite.sharelives.xyz/public/onlineservice/getme/new/PluginL26.9.22.apk
转载来源:https://mp.weixin.qq.com/s/WJji5Dr9OHSgwIaySetCfg
图片来源网络侵权可联系删除