桃色陷阱行动:APT

2023年 11月 22日 94.2k 0

APT-C-52(焰魔蛇)组织是一个来自南亚的APT组织,主要针对巴基斯坦进行有组织、有计划、针对性的网络攻击行动。该组织攻击活动开始于2021年初,至今仍处于活跃状态。我们获取攻击者服务器泄露的部分数据,受害者主要为巴基斯坦军事人员。

APT-C-52(焰魔蛇)组织主要通过Google Play应用商店传播恶意应用,首先利用Facebook获取攻击目标联系方式,然后通过WhatsApp或短信等社交方式传播恶意应用的下载地址,诱导攻击目标安装并使用恶意应用,实现窃取目标隐私数据等敏感信息的目的。

一、样本分析

1.载荷投递  

APT-C-52(焰魔蛇)组织整个攻击流程如下图所示:

图1 攻击流程

APT-C-52(焰魔蛇)组织早期使用自建的服务器进行载荷投递,中后期使用Google Play应用商店进行载荷投递,下列为APT-C-52(焰魔蛇)组织近期使用的攻击样本在Google Play应用商店的地址,图2为应用在Google Play商店上的介绍截图。

图2 恶意应用在Google Play的介绍

APT-C-52(焰魔蛇)组织攻击者在Facebook平台上创建了多个账号,伪装成女性用户,并添加巴基斯坦军方相关人员为好友,进一步获取其联系方式,为后续攻击做准备。

当获取到目标联系方式后,攻击者会利用Facebook Messenger、WhatsApp、短信传递恶意样本或下载地址,并诱导受害者安装使用,最终实现获取军事情报的目的。

图3 传播恶意应用或下载地址

2.样本功能分析  

2.1 正常功能  

APT-C-52(焰魔蛇)组织使用的攻击样本伪装成聊天应用,并包含聊天应用的所具备的语音通话、视频通话、语音消息、群聊等常规功能,其功能代码来自Opus Labs Works公司开发的一款聊天应用Yoohoo(https://opuslab.works/apps/social-chatting-calling/yoohoo)。我们在Github上发现了该应用泄露的源代码(https://github.com/hmephi/zoozy),图4为APT-C-52(焰魔蛇)组织使用的恶意样本和YooHoo聊天应用包结构,两者结构基本一致。

图4 左边为APT-C-52(焰魔蛇)组织使用的恶意样本,右边为YooHoo包结构

Yoohoo的是一款使用Firebase Authentication进行短信验证以及使用Firebase Storage存储用户数据的应用,其使用文档(https://opuslabsin.github.io/doc-yoohoo)如图5所示。而APT-C-52(焰魔蛇)组织同样使用Firebase的免费服务储存窃取的隐私数据。

图5 YooHoo文档内容

2.2 恶意功能  

2.1.1 早期恶意功能

APT-C-52(焰魔蛇)组织早期攻击样本包含较多的恶意功能,其中窃取联系人列表、通话记录、短信、通知栏消息、已安装应用列表的恶意代码来自开源远控工具L3MON(https://github.com/BLACKHATHACKER0802/-D3VL-L3MON),如图6和图7分别为L3MON以及APT-C-52(焰魔蛇)使用的恶意样本窃取通话记录代码,两者完全一致。

图6 L3MON窃取通话记录代码

图7 APT-C-52(焰魔蛇)组织恶意样本窃取通话记录代码

除了使用L3MON的代码外,APT-C-52(焰魔蛇)组织还额外增加了窃取设备中特定后缀名的文件、设备信息以及WhatsApp、WhatsAppBusiness 和 Signal聊天记录的恶意功能。如图8和图9所示。

图8 窃取特定的后缀名文件

图9 窃取WhatsApp、WhatsAppBusiness 和 Signal聊天记录

2.1.2 中后期的恶意功能

APT-C-52(焰魔蛇)组织在后来不断迭代更新,中后期不仅完全移除了L3MON的全部功能代码,还去除了窃取聊天记录的代码,只保留了窃取联系人列表以及特定后缀名文件的功能。另外样本中还包含了窃取短信的功能代码,但并未使用相关功能。我们认为此次大规模调整恶意代码是为了躲避审查,从而顺利上架Google Play应用商店方便传播,以便更好的博取受害者信任。图10为最新样本中窃取联系人列表功能代码。

图10 窃取联系人列表

二、受害者分布  

   通过分析发现,APT-C-52(焰魔蛇)组织所窃取的数据多达数百万条,其中数据类型主要是通知栏消息,其次是照片、文档、联系人列表、短信、通话记录等数据。受害者主要分布在巴基斯坦,具体受害者地域分布如图11所示。

图11 受害者地域分布

三、归属研判  

1.开发者信息

通过信息挖掘,我们发现了所使用的恶意样本的源码仓库,名称为ChatApp,地址为:https://github.com/Hi*****/ChatApp,该仓库提交者为Hi*** Ch****,所留的邮箱为:22hi********@gmail.com。与该Github账户名称一致。最早提交代码的日期为2021年7月7号,该代码包含了APT-C-52(焰魔蛇)组织中后期恶意功能的完整代码,而后续提交代码主要对应用界面进行不断调整,图12为代码的提交记录。图13为ChatApp源码中窃取联系人列表的代码片段,图14为APT-C-52(焰魔蛇)攻击样本窃取联系人列表的代码片段,两段代码完全一致,因此证明该仓库为APT-C-52(焰魔蛇)组织攻击样本的源码。

图12 代码提交记录

图13 ChatApp窃取联系人列表

图14 APT-C-52(焰魔蛇)恶意样本窃取联系人

我们获取到了ChatApp的测试数据,其中手机号码为+91600616****的用户也存在APT-C-52(焰魔蛇)组织泄露的受害者数据中,因此我们猜测该手机号码属于APT-C-52(焰魔蛇)组织用于测试的资产,也进一步表明ChatApp开发者与APT-C-52(焰魔蛇)组织存在关联。

对Github主页上所留信息进一步挖掘,发现一名为Hi*** Ch*****的开发者的Linkedin个人求职信息并且所述项目经历也与Github主页上的一致,证明两者为同一人。

图15  https://github.com/Hi****** 项目

2.攻击者分析  

在APT-C-52(焰魔蛇)组织泄露的隐私数据中,我们发现了部分早期的短信数据中包含了APT-C-52(焰魔蛇)组织所使用的Firebase子域名的登陆验证码消息,因此我们认为相应的设备和号码均属于APT-C-52(焰魔蛇)组织的资产通过研判分析,我们发现攻击者特别关注武器相关文档照片,军事基地的卫星图片和经纬度坐标,以及各个军种的军人信息,同时会使用Google lens 翻译重点关注的文档,并将所认为的重要价值信息整理、分析。

总结

APT-C-52(焰魔蛇)组织使用美人计突破了整个攻击最关键的一步,获取到目标的初步信任,然后诱导目标使用其开发的恶意社交应用,窃取情报。在中后期的攻击中,APT-C-52(焰魔蛇)组织恶意样本突破Google Play应用商店审核机制,使用Google Play进行传播,利用大众对Google Play应用商店的信任,进一步降低了目标的防范心理,更轻松达成攻击目的。

对于这种情况,我们列出了一些通用的安全防范排查建议。

  • 确保安装了杀毒应用。
  • 不迷信应用商店的审核机制,仅从应用商店下载并安装知名软件。
  • 谨慎打开通过短信或邮件收到的任何链接。
  • 尽量不授权不知名应用任何权限。
  • 保持操作系统和应用程序处于最新状态。
  • 定期检查移动设备上安装的应用程序移动/Wi-Fi数据的使用情况。
  • 密切关注杀毒应用提示的警报信息,并采取必要的措施。

附录IOC

攻击样本MD5:

88b634d47a39a3cc152ecdf3e5b638f5
07f106d4ce4845ad26e89688d7ed2552
72ef14a216e42cc122fa58cebc7af186
3e764319ac1b188e29252ea8627ca857
259035caab78d2f18fb022dc30552470
432316e6d85a3b4cec9cd196d7d79916
2f58ff468ac071492b78d0b5622b644c
c11ed89d2584564fdb99d6ba1b42bd7d
7dd2f0a57944a51015e334007d95b09d
84504c2f077b1c73ec3a64bfa4429cf4
a626a32a17bc49d2858798dcae3f36ee
24ca0b807598d1baec0df63d2c1e55a3
eb3e7d94069786eceb34b683e671eec2
8ee00f3e8a6443572723ae47c1a0ff36
7a47d859d5ee71934018433e3ab7ed5b
e0912afaf7905fadfe52ced00bfe31b6
6170d90ac5e88fbb6eba770770c013de
0c980f475766f3a57f35d19f44b07666
ec5f776e909653b3feab9f9856c580ff
44c2b688516999ae61351988dbedd893

网络资产:

meetme-abc03.appspot.com
quick-chat-1d242.appspot.com
howdee-6b6c4.appspot.com
peppyz.appspot.com
tiktalk-2fc98.appspot.com
privchat-6cc58.appspot.com
yotalk-457cd.appspot.com
crazytalks-d39ed.appspot.com
cable-1a029.appspot.com
zapp-a297b.appspot.com
chat-e7c87.appspot.com
chatapp-6b96e.appspot.com
yooho-c3345.appspot.com

转载来源:https://www.anquanke.com/post/id/291413

图片来源网络目标可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论