返回 TI 主页

背景

响尾蛇(APT-Q-39,又称SideWinder)是疑似具有南亚背景的APT组织,其攻击活动最早可追溯到2012年,该组织主要针对巴基斯坦、中国、阿富汗、尼泊尔、孟加拉等国家展开攻击,以窃取政府外交机构、国防军事部门、高等教育机构等领域的机密信息为目的,攻击活动具有强烈的政治背景。该组织具备针对Windows 与 Android 双平台的攻击能力。


概述

近日,奇安信红雨滴团队在日常高价值样本狩猎过程中,捕获到疑似一批SideWinder组织Android端攻击样本。根据红雨滴研究人员跟踪分析,此次的攻击活动有如下特点:

  1. 样本托管在Google Play商店,伪装成Secure VPN(VPN加密通信软件)、Supereme Allah、Z Cleaner(手机清理软件)、Secure browser(浏览器软件),安装人数超过1K+。
  2. C2地址隐蔽性增强,包括硬编码在样本中、加密保存在google play安装链接参数中、通过firebase后台下发C2。


样本信息

样本1

伪装成“Z Cleaner”手机清理软件

- -
MD5 base.apk
文件名 3de1efa51c4670610380ebf87725e5b8
文件大小 4.28 MB


样本2

其伪装成“Invincible Allah”软件。

- -
MD5 Inshallah_v1.5_apkpure.com.apk
文件名 7651ed2c924d612686b4b5e6b4da0b96
文件大小 6.45 MB


样本3

其伪装成“Secure VPN”加密通信软件。

- -
MD5 Secure VPN_3.9_apkcombo.com.apk
文件名 17ccf24c4e09b1bc7ce5c0eb637a4edd
文件大小 14.0 MB


详细分析

样本从Google Play进行安装,其安装链接中的”install_referrer”参数中携带了加密的C2(截止在2022年06月05日应用已全部下线,未能获取到C2)。

获取到C2后,把C2保存到安装目录的”MyPref”配置文件的”url”字段中。

接着,连接C2,发送上线指纹信息。

设置周期任务,每间隔10分钟就会下载插件执行。

周期任务执行后,连接C2,下载插件保存到安装目录的permFex开头文件,并作为插件加载执行。

下载插件:

插件执行:

上述功能是样本1、样本2、样本3的共同点,其3个样本的不同点在于获取C2的来源:

样本1:只能从google play 安装链接中获取到后续C2;

样本2:自身还硬编码了一个C2:”https://register.srvapp.co/”;

样本3:连接了firebase,可以获取firebase后台下发的C2。


溯源与关联

奇安信威胁情报中心分析人员通过对此次捕获样本所带的恶意代码、样本传播方式,判断本次攻击活动的幕后黑手为响尾蛇(APT-Q-39,SideWinder)。

样本在解密服务器下发的插件时,使的解密密算法和趋势科技厂商曝光的SideWinder的APK解密算法相同,都是前32字节作为KEY和后续数据进行xor解密【1】。

使用的传播方式通过Google Play 传播,和趋势科技厂商曝光的SideWinder的APK传播方式相同【1】。


总结

此次捕获的样本主要针对南亚地区开展攻击活动,国内用户不受其影响。奇安信红雨滴团队在此提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张标题的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。

若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、奇安信天狗漏洞攻击防护系统、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。


IOCs

MD5

17ccf24c4e09b1bc7ce5c0eb637a4edd

3de1efa51c4670610380ebf87725e5b8

3df009405c2226fa5047de4caff3b927

9b0a33d41dda234676ba9efe379953f3

0e9a872844e912b057ebec6af011a2e7

7651ed2c924d612686b4b5e6b4da0b96

5aa544b5c1432710b80aa315beef5b7d

32ee8258cc83415d87942edbc250acea

d1a7c83958cb714319fbf01f96a89504

91e4d29fd1c4ee00636040c76efe166d

URL

https://register.srvapp.co/


参考链接

[1] https://www.trendmicro.com/en_us/research/20/a/first-active-attack-exploiting-cve-2019-2215-found-on-google-play-linked-to-sidewinder-apt-group.html

南亚地区 APT 响尾蛇