概述
2021年2月,奇安信威胁情报中心移动安全团队在移动端高级威胁分析运营过程中,发现APT组织“透明部落”新近活动采用的移动端Tahorse RAT出现新变种。Tahorse RAT是APT组织“透明部落”此前基于开源的Ahmyth远控定制生成,于2020年8月25日被我们进行命名披露。此次Tahorse RAT变种主要去掉了漏洞的使用,但其恶意功能保持不变,部分变种还增加了Google提供的FireBase能力实现云控制,目前未发现此恶意代码对国内有影响。
2020年8月,奇安信威胁情报中心移动安全团队与安全厂商卡巴先后披露了APT组织“透明部落”在移动端的攻击活动。通过关联分析,我们发现到此次Tahorse RAT新变种样本出现在被披露后的第二周;通过与2020年7月印度陆军禁用的89款APP名单比较发现,新变种应用均避开了禁用的APP名单,伪装成新的社交应用进行传播,甚至直接伪装成印度陆军新闻应用进行攻击,可见该组织具备较快的更新响应能力。
“透明部落”是一个南亚来源具有政府背景的APT组织,其长期针对周边国家和地区的军队和政府机构实施定向攻击。为了防止威胁的进一步扩散,奇安信威胁情报中心对该安全事件进行详细分析和披露,以提醒各安全厂商第一时间关注相关的攻击事件。
攻击方式
“透明部落”组织此次移动端上的攻击主要以伪装成AF News、WhatsApp、Chat Bolt这三款没有出现在印度陆军禁用名单的应用,以及伪装成系统设置相关应用。
其中伪装的AF News 为印度陆军所使用的新闻应用,表明了攻击带有非常明确的目标为印度陆军。
此外伪装的WhatsApp与Chat Bolt社交应用,运行后显示的登陆界面电话区号“+91”,也表明了攻击针对的是印度。
攻击样本分析
“透明部落”组织此次攻击活动采用的是2020年8月被我们命名的Tahorse RAT变种。分析发现到被披露后的第二周,该组织对Tahorse RAT进行了更新迭代继续进行新攻击活动,但其恶意功能保持不变。
Tahorse RAT是APT组织“透明部落”基于开源的Ahmyth远控进行定制修改生成的,修改后其现支持有八种远程指令。
此次Tahorse RAT变种出现了下面4点变化:
- 去除开源项目AutoStarter对国内主流品牌手机的定制优化模块,仅针对小米和VIVO进行了一定的适配。
- 去除qu1ckr00开源项目中利用CVE-2019-2215漏洞的ELF模块。
- 去除之前释放的伪装成的数款社交软件的子包APK方式,直接伪装成不在印度陆军禁用名单的新目标。
- 增加了Google提供的FireBase能力实现云控制功能,进行云下发唤醒核心远控Service。并结合下面的token操作,可以精确到某一个设备进行操作。
接收FireBase消息,进行响应弹出云下发的假通知消息。
实时发送设备Token给控制端,便于控制端进行精确控制每一个具体终端执行行为。
攻击组织溯源分析
基于奇安信威胁情报中心移动安全团队的分析系统和红雨滴APT样本关联系统的追踪分析,奇安信威胁情报中心判断本次攻击活动的幕后组织疑似为“透明部落”组织。主要依据如下:
- “透明部落”组织在已经披露的历史攻击行为中,存在通过PC端多次对印度陆军投放诱饵文档的攻击;而此次移动端攻击也出现针对印度陆军投放的诱饵应用,攻击方式及目标与PC端保持一致。
- 该移动端RAT仅在“透明部落”组织出现过, 且部分C2与“透明部落”组织出现重叠。
总结
“透明部落”组织近期增加了移动端上持续投入的迭代升级攻击,也再一次印证了军事实战的升维,网络空间作战行动已是常态化、多样化。网络钓鱼可谓老生常谈,却仍是攻击者屡试不爽的惯用手法,显然还是最有效的战术之一。应对这些攻击不仅需要安全厂商的各类安全产品的防护和到位的安全服务支持,更离不开企业对内部自身安全规程及企业内部员工安全防范意识的持续建设。针对普通用户如何避免遭受移动端上的攻击,奇安信威胁情报中心移动安全团队提供以下防护建议:
- 在正规的应用商店下载应用。国内的用户可以在手机自带的应用商店下载,国外用户可以在Google Play下载。不要安装不可信来源的应用、不要随便点击不明URL或者扫描安全性未知的二维码。
- 移动设备及时在可信网络环境下进行安全更新,不要轻易使用不可信的网络环境。
- 对请求应用安装权限、激活设备管理器等权限的应用要特别谨慎,一般来说普通应用不会请求这些权限,特别是设备管理器,正常的应用机会没有这个需求。
- 确保安装有手机安全软件,进行实时保护个人财产安全;如安装奇安信移动安全产品。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对此类攻击的精确检测。
附录
A:IOC
| 。 | 。 |
|---|---|
| APK MD5 | |
| 02a121aea1bfb7b0684462b112c82552 | |
| bb8e05ec8b15efa2f9d5b66de1a7eb1d | |
| f6b028ccc8a872ad5eb3d9a36020adac | |
| 579b9c358475b9e45d91a06df58493d6 | |
| 976743edf6bcc12bb0349b3ea11aab2f | |
| bf5cc683a34f697affec1aef221ccb30 | |
| cc4d7b39dec5335e209f80a3c212a6ba | |
| 2d73bb3ac2625fda94e5da8d8e79cae3 | |
| d2a9b362fdf56c10bb89c8164a779601 |
| 。 | 。 |
|---|---|
| C2 | C2对应ip |
| tryanotherhorse.com | 185.165.168.35 |
| 212.8.240.221 | |
| 178.132.3.230 | |
| www.iwillsecureyou.com | 89.45.67.50 |
B:奇安信威胁情报中心移动安全团队
奇安信威胁情报中心移动安全团队一直致力移动安全领域及Android安全生态的研究。目前,奇安信的移动安全产品除了可以查杀常见的移动端病毒木马,也可以精准查杀时下流行的刷量、诈骗、博彩、违规、色情等黑产类软件。通过其内部分析系统可以有效支持对溯源分析等追踪。通过其高价值攻击发现流程已捕获到多起攻击事件,并在今年发布了多篇移动黑产报告,对外披露了四个APT组织活动,其中两个是首发的新APT组织(诺崇狮组织和利刃鹰组织)。未来我们还会持续走在全球移动安全研究的前沿,第一时间追踪分析最新的移动安全事件、对国内移动相关的黑灰产攻击进行深入挖掘和跟踪,为维护移动端上的网络安全砥砺前行。
C:奇安信移动产品介绍
奇安信移动终端安全管理系统(天机)是面向公安、司法、政府、金融、运营商、能源、制造等行业客户,具有强终端管控和强终端安全特性的移动终端安全管理产品。产品基于奇安信在海量移动终端上的安全技术积淀与运营经验,从硬件、OS、应用、数据到链路等多层次的安全防护方案,确保企业数据和应用在移动终端的安全性。
奇安信移动态势感知系统是由奇安信态势感知事业部及其合作伙伴奇安信威胁情报中心移动团队合力推出的一个移动态势感知管理产品。不同于传统移动安全厂商着重于APP生产,发布环节,为客户提供APP加固、检测、分析等;移动态势感知面向具有监管责任的客户,更加着重于APP的下载,使用环节,摸清辖区范围内APP的使用情况,给客户提供APP违法检测、合规性分析、溯源等功能。
D:参考信息
[1] https://www.secrss.com/articles/24995
[2] https://securelist.com/transparent-tribe-part-2/98233/
[3] https://www.businesstoday.in/latest/trends/full-list-of-89-mobile-app-banned-for-army-soldiers/story/409396.html
[4] https://www.businessinsider.in/tech/apps/news/checkout-the-list-of-89-apps-banned-for-indian-army-soldiers/articleshow/76865942.cms