针对叙利亚军人的复合式攻击活动分析

2023年 11月 28日 58.3k 0

摘要

近日,奇安信病毒响应中心移动安全团队监测到一款伪装成叙利亚发展信托基金应用的恶意软件。

其为针对叙利亚军人的钓鱼和木马复合式攻击,会窃取受害者隐私信息和社交账号信息。

钓鱼页面宣称是叙利亚发展信托基金支持叙利亚军队中英雄的一个新项目,要求填写个人信息和家庭信息,如姓名、电话、军衔、服务地点及妻子姓名、子女信息等。

SpyMax的功能非常全面,包含监控SMS、访问麦克风、录制音视频、窃取通讯录和通话记录、窃取文件、实时定位等。

此次针对向叙利亚军人的复合式攻击具有迷惑性强,破坏性大,难以追踪的特点,一旦感染,甚至威胁到受害者及其家人的生命财产安全。

关键词:叙利亚发展信托基金、叙利亚军队中英雄、钓鱼攻击、Spymax RAT

概述

近日,奇安信病毒响应中心移动安全团队监测到一款伪装成叙利亚发展信托基金应用的恶意软件。经过分析,发现其为针对叙利亚军人的钓鱼和木马复合式攻击,会窃取受害者隐私信息和社交账号信息。

叙利亚发展信托基金是叙利亚的一个非政府、非营利的组织。

攻击分析

攻击活动中的移动端恶意软件样本,都采用知名的Android RAT工具SpyMax进行开发,先后有阿拉伯语和英语两个版本,其中包装的URL为钓鱼链接。

钓鱼攻击

钓鱼攻击分发在移动端和web端,根据其使用域名、服务器和内容可以确定两个钓鱼站点同属于此次针对叙利亚军人的攻击活动。

移动端

移动端钓鱼攻击首先在应用名称和图标上进行伪装,应用名称为“الأمانة السورية للتنمية”和“syria-trust-for-development”,应用图标则为叙利亚发展信托基金标志;其次其钓鱼链接为“https://syr1.store/”,也与官网地址“https://syriatrust.sy/”相似;最后是其利用官网内容和样式进行的钓鱼页面内容伪装。

“مشروع جديد للأمانة السورية للتنمية يهدف إلى دعم الأبطال في الجيش العربي السوري الذين يضحون لتحيا سوريا بعزة وكرامة”(译:叙利亚发展信托基金的一个新项目旨在支持阿拉伯叙利亚军队中的英雄,他们为叙利亚能够自豪和有尊严地生活而做出牺牲)。钓鱼页面宣称是叙利亚发展信托基金支持叙利亚军队中英雄的一个新项目,要求填写个人信息和家庭信息,如姓名、电话、军衔、服务地点及妻子姓名、子女信息等。

钓鱼页面上传数据如下:

在钓鱼页面的底部,诱导受害者将此程序保留在设备上,还提供了紧急情况下社交软件Facebook的联系方式,然而这又是针对受害者社交账号的钓鱼,数据会提交到“shame5sham.000webhostapp.com”服务器。

Facebook钓鱼页面上传数据如下:

Web端

经过数据挖掘,我们发现除了2个移动端的样本外,此次攻击活动还在同一服务器上部署有钓鱼web应用程序,域名为“syr1.online”,此程序利用爬取叙利亚发展信托基金官网与军人相关活动的照片和推文进行伪装,与官网(syriatrust.sy)内容对比如下:

在页面底部同样提供了社交软件Facebook的联系方式,此次的社交账号信息是直接提交到当前服务器。数据上传如下:

SpyMAX 攻击

SpyMAX介绍

SpyMax是近几年Android端的流行监控工具,它的前身SpyNote 是最广泛使用的间谍软件框架之一,曾被誉为市场上最好的Android RAT工具。SpyMax的功能非常全面,包含监控SMS、访问麦克风、录制音视频、窃取通讯录和通话记录、窃取文件、实时定位等。

SpyMax的功能UI展示如下:

样本配置信息

样本中的钓鱼地址和主控地址,均硬编码配置在资源文件中,配置文件如下:

网络资产分析

此次攻击活动在情报分析时具有很大的难度,移动端样本采用SpyMax开发,除关键配置外,并没有开发者相关指纹信息,样本采用SpyMax默认证书和公开测试证书签名;所使用的网络资产也多为云服务商资产,都极大的剔除了自身资料,使攻击活动变得更加隐匿。以下是我们对此次攻击活动使用到的网络资产的一些分析。

主控地址分析

使用的2个样本的主控地址为“khalefaa-40441.portmap.host”和“nurth-36527.portmap.host”,经过分析发现,它们都来自portmap平台,此站点生成域名常常被用于恶意软件,采用的是OpenVPN服务实现,注册平台如下:

钓鱼地址分析

用于钓鱼的服务器有两个,分别用于伪装成叙利亚发展信托基金站点和社交软件Facebook登录页面。

Syr1服务器

我们暂且把 “syr1.store”和“syr1.online”解析的仿冒叙利亚发展信托基金站点服务器称为Syr1服务器,服务器地址为“154.56.47.207”,位于美国,域名解析结果如下:

通过域名反查发现,曾解析过100+域名,域名反查结果如下:

000webhostapp服务器

用于钓鱼窃取Facebook账号信息的服务器域名为“shame5sham.000webhostapp.com”,它属于一家云服务器服务商,该服务商提供廉价的虚拟主机和免费的托管服务,换一个角度来看,这也降低了攻击者成本,而且能更好的隐藏自己。该服务商主页如下:

攻击时间分析

通过对三个钓鱼站点的分析,结合样本打包信息,基于以下三点,我们怀疑此次攻击活动的开始时间为2023年9月份,并在不断的完善和持续攻击。

样本签名文件修改时间:

资产扫描发现时间:

站点证书信息:

总结

此次针对向叙利亚军人的复合式攻击具有迷惑性强,破坏性大,难以追踪的特点,一旦感染,甚至威胁到受害者及其家人的生命财产安全。针对特定人群如何避免遭受移动端上的攻击,奇安信病毒响应中心移动安全团队提供以下防护建议:

及时更新系统和应用,在正规的应用商店下载应用。国内的用户可以在手机自带的应用商店下载,国外用户可以在Google Play下载。不要安装不可信来源的应用、不要随便点击不明URL或者扫描安全性未知的二维码。

移动设备及时在可信网络环境下进行安全更新,不要轻易使用不可信的网络环境。

不轻易开启Root权限;对请求应用安装权限、激活设备管理器等权限的应用要特别谨慎,一般来说普通应用不会请求这些权限,特别是设备管理器,正常的应用基本没有这个需求。

确保安装有手机安全软件,进行实时保护个人财产安全。

IOCs

MD5

14584006027594b856ef2bd1883138c0
87cc2f6f5e3150b6fb9a758adc74261a

C&C

syr1.store
syr1.online
shame5sham.000webhostapp.com
khalefaa-40441.portmap.host
nurth-36527.portmap.host

转载来源:https://www.ctfiot.com/147283.html

图片来源网络目标可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论