返回 TI 主页

背景介绍

2017年3月15日奇安信红雨滴高级威胁分析团队已经对APT-C-23做了详细的揭露,APT-C-23组织的目标主要集中在中东地区,尤其活跃在巴勒斯坦的领土上。2016 年 5 月起至今,双尾蝎组织(APT-C-23)对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台主要包括 Windows 与 Android。

Android恶意程序主要伪装成两类应用程序:一类为聊天工具,另一类为软件升级工具。其传播方式主要有两种:第一种方法是通过短信,其中包含指向Google云端硬盘的网址或托管APK的C&C域名,第二种方法是将他们的应用程序上传到第三方应用商店。其中Android版本当时已经更新了两个版本,类名对应的功能如下图。

近期Check Point发现了APT-C-23使用了带有政治主题的诱饵PDF文件,使用了新的C2 frowtisice[.]club

经过我们分析,新样本在原有的基础上功能进行了增加,代码结构、控制指令等都进行了巨大的改变,程序运行后会显示带有政治主题的诱饵PDF文件,而随着巴以冲突的持续升温,APT-C-23再次更新其目的也显而易见。

下图为样本运行以后带有政治主题的PDF诱饵文件:

样本分析

APT-C-23新样本通过仿冒Acrobat更新,并通过显示含有政治主题的诱饵PDF文件,诱骗用户安装使用;恶意软件主要目的为窃取用户手机信息,并对用户手机进行远程控制,新程序继承了APT-C-23下发控制指令的模式,实现了两种向应用推送消息的方式,FCM和SMS通信,从而可以更加稳定的接收到控制指令;程序运行以后会隐藏自身图标,从而保护自身不被卸载;程序会通过两种方式下发控制指令,两种方式下发的指令其功能类似,例如:开始对用户手机进行录音,上传用户手机短信,上传用户手机通讯录,上传用户手机文件等操作。

恶意程序运行界面

程序运行后隐藏自身图标

APT-C-23实现了两种向应用推送消息的方式,FCM和SMS通信,从而可以更加稳定的接收到控制指令。

通过SMS的控制指令下发

SMS控制指令:

控制指令 指令含义 控制指令 指令含义
#.= 开启录音,并上传录音 52115 启用更新通知
#,, 停止录音 52116 禁用更新通知
52101 启动应用程序 52117 启用新的URL
52102 关闭应用程序 52118 上传手机文件
52103 Enable Mobile Data 52119 获取控制指令
52104 Disable Mobile Data 52120 获取录制的内容
52105 卸载应用程序 52121 未启用功能
52106 删除录音文件 52122 获取短信通信记录
52107 开启WiFi
52108 重启录音功能
52109 取消更新
52110 获取用户手机已安装程序信息
52111 禁用第一次更新
52112 启用第一次更新
52113 获取所有短信内容
52114 获取手机通讯录

通过短信下发指令:

指令:#.=

指令:#,,

指令:52101

指令:52102

指令:52103

指令:52104

指令:52105

指令:52106

指令:52107

指令:52108

指令:52109

指令:52110

指令:52111

指令:52112

指令:52113

指令:52114

指令:52115

指令:52116

指令:52117

指令:52118

指令:52119

指令:52120

指令:52121

指令:52122

重要代码截图

获取用户短信:

获取用户手机通讯录:

上传URL:https://frowtisice.club/Margarita

通过FCM的控制指令下发

控制指令 指令含义
Eduardo 检测更新
JadisWalsh 申请权限 统计短信、通讯录
EzekielMonroe 检测录音文件是否存在
LizzieHenry 开始录音并上传录音
CarlRhee 开启WiFi
RositaPorter 开启WiFi
BethAaron 对用户手机呼叫转移
HershelJones 无实际功能
AndreaGrimes 获取用户手机短信、获取用户通讯录
Stookey 上传手机文件
SimonBlake 停止录音并上传文件
OliviaKal 停止录音
FrancineGary 停止录音
TanyaSubramanian 仿冒Facebook、WhatsApp、GooglePlay、Messenger、Instagram更新
update 仿冒Facebook、WhatsApp、GooglePlay、Messenger、Instagram更新
Michonne 卸载程序
TobinSpencer 监控电量变化
LoriHarrison 上传手机固件信息
MaggieChambler 获取连接状态
SashaGreene 发送申请状态
Barbara 电话呼叫转移
JessieMonroe 电话呼叫转移
LydiaAnderson 手机回到主界面、可隐藏APP图标、设置隐藏时间等
DeannaAnderson 上传录音
PatriciaKent 上传手机各种文件
DianneJared 计算空间
DeniseAnderson 未启用功能
TammyJed 未启用功能
MagnaRose 未启用功能
AmyLuke 上传/android/main/recordHis下文件
KarenOscar 未启用功能
AratBertie 未启用功能
TamielBrion 未启用功能
SophiaAxel 卸载程序
CyndieSamuels 删除文件
LauraPeletier 设置响铃模式
GoTesna 未启用功能
MariDuncan 未启用功能

指令:Eduardo

指令:JadisWalsh

指令:EzekielMonroe

指令:LizzieHenry

指令:CarlRhee

指令:RositaPorter

指令:BethAaron

指令:HershelJones

指令:AndreaGrimes

指令:Stookey

指令:SimonBlake

指令:OliviaKal

指令:FrancineGary

指令:TanyaSubramanian

指令:update

指令:Michonne

指令:TobinSpencer

指令:LoriHarrison

指令:MaggieChambler

指令:SashaGreene

指令:Barbara

指令:JessieMonroe

指令:LydiaAnderson

指令:DeannaAnderson

指令:PatriciaKent

指令:DianneJared

指令:"DeniseAnderson

指令:TammyJed

指令:MagnaRose

指令:AmyLuke

指令:KarenOscar、AratBertie、TamielBrion

指令:SophiaAxel

指令:CyndieSamuels

指令:LauraPeletier

指令:GoTesna、MariDuncan

重要代码截图

遍历手机文件:

删除临时文件,随机释放空间,为上传文件做准备:

获取短信:

获取通讯录:

总结

中东地区沟通了欧亚非,地理位置十分重要,而由于石油资源、宗教信仰、地缘政治、历史原因等问题又常年战乱不断。随着手机的普及与移动互联网的发展,移动平台已经成为了APT攻击的新战场。APT-C-23常年持续对巴勒斯坦多个重要领域进行攻击,而此次在巴以双方摩擦不断的情况下,APT-C-23移动端再次更新,并且使用了带有政治主题的PDF诱饵样本,诱骗用户安装使用。所以移动APT的更新速率以及实时性值得我们关注,我们也会时刻关注APT-C-23 Windows 与 Android最新变种的出现。

IOC

样本Hash:
8B48CEC7CB30FF0F02B06C51AA15F24F
9a8bb68564c8cd38e47a91c816776a84d78dfe5bd35cd014400e87cb76ca9440
cf2d7545b1f5ec57142727f795e07e85b84cbfe9a8b9f75aa5219495c746d853
e7d7f110369a67dd1129c5fbd38daeadcc01c2ab3ced98e2a3135283678e1914
461e9c8fb2b0a049df3b5fccd9c453c65d30ee02699f715da09796a5bb236f7c
0537cdd971843545ce569415226dfabd1053a149a2586f163b58f7cb46e80ac5
16327e5fbb60bc8f57ba2bbfe02c0464ce0755312a10f566cd7123cf978160d3
2240c56c98c90acc0cbc58ba0ea6f7d78bb2f80d97f5c23e2a6e0ba5e2db4960
46976081c1bcec4daa9701fbe373010c0bcb17463359a91556f09339522b6a13
1995f315d0431141b25dd2962a2b517bc27d0ba694fddf982d970f512f784945
e0e1addc23a032b538a344498e862b808e767ce8bed9412dd8990d00b1d64b34
79947899241dde6bb6c3b82d8a0841928fa25333909907ddafeddcc987d37fb9
d6a7c537a3101c38d0bafdcde685ad97ebc15ecac6bfa6eacba80b933ae8a151
fe074e77cf64227b6f79d08cae573dd8d48e32e72abf8482a1a4d7a6e42b4f2d
56f13b40f115af5114445d6ea04e5c00b19302ec4425e1995e423f0cd4cc3cf0
14b739028e1e85a95cd2efc4019fdae9a49622afe07d8ef542634b1908baedee
51e2630f942578d81ed000aa8a7b5ff7e19608a53323092ba72bc3b686614e25
adcc3186e92f9ffe6277443b918cef997f2debbd84f7ccba974ab89bedfe90a3
76962d334b894349a512d8e533c8373b71389f1d20fd814cd8e7ecc89ed8530a
7e4a5c61a6d7718381884ac7675f335282169641518379ea921731cf08c95b49
4b5dafd98fdffe2736787281db233f8f1e904b05e70acbfa2358cb901269d039
1702b7038a1a1dc514054d3070939b4c1fabf3b51a0192d64dcd4f934c27b3ca
c38d2a739d9a4e7df51176c95abc43ba606928c5d88b3ebcd7202dbaa0499e35
86e453b251707eb2b73a3f547d7ed34af2b850fd9d319143c22778dd73066901
91cbeb6b02575423621e0a0871efca3b6d25004ce9c1700b97748e2d330b60fb
2ff47bb5ce6baacba85047c43afe1f3a7f034f1dd547c385394055afa4ba64bc
4ebb385b0bf460d8561c39af8b69144bfe8c7a4d8607b157784674de653b9a05
6bdf6f1d5a8a4c94589ab9f1d40db7e7710bae82f143209f058b6e0b8f25884d
6665a99e53b2d28497e4edba4c67b8e587b9291d524c737235c69379a00190ae
183ec1960e40b0831fbc47bbd87de530a1f92de02b1a60eb91771ef5d7dd016b
4842cff6fc7a7a413ceed132f735eee3121ffb03f98453dae966f900e341dd52
cc40a67b3844116c594fd192055d62498f9907d46cc84afd6bfaefa3b6b665a9
27d89d88db6fe1365e2c1ded2e8af805c353d741bfd45023e9f67e2cc8c4d28e
1a9d5717622111e73cd11617bf29b9e8e9c50a83b90c85dee909faad24684585
7752f5662d904a261eb57a948278d0804efef827c1bec6337e6b210a00635a27
ddfe29e690f8ecd08c6efd304ac89283967b63e9e0ea508d8b69ab4a5365f038
bdea751c2e106a4f83d8ba32b1f193a3aa65bf3aba4405e025887bb66cb7a0c3
371f13e4dacb0a740752a2352f09804bae99887b833c6989feb211702b3679cb
93a21428286602cfe02380a33411cb9d25004f627c685b4363e9ffb3baa5f201
dd21373738175567c92de2031e9efce761ba8d1fe6c6e04e69648e7528eed309
d16b235d931d4eecb38365af538be023bebdb547f8aadf69de4aadfabc65620a
8d184f24277ace3dd55811c3ed5b810eaa34a1c9bff0de2a15eb996134e9e241
1b3fddc07f524b22559a6c6688ff90fd0e7f035a5ac36237be5e28a10887e928
C&C
frowtisice.club

参考信息

https://www.freebuf.com/articles/system/129223.html

https://www.jianshu.com/p/702ddf8dd51c

https://www.symantec.com/blogs/expert-perspectives/ongoing-android-malware-campaign-targets-palestinians-part-2

附录

红雨滴高级威胁研究团队(RedDripTeam)

奇安信旗下的高级威胁研究团队红雨滴(天眼实验室),成立于2015年,持续运营奇安信威胁情报中心至今,专注于APT攻击类高级威胁的研究,是国内首个发布并命名“海莲花”(APT-C-00,OceanLotus)APT攻击团伙的安全研究团队,也是当前奇安信威胁情报中心的主力威胁分析技术支持团队。

目前,红雨滴团队拥有数十人的专业分析师和相应的数据运营和平台开发人员,覆盖威胁情报运营的各个环节:公开情报收集、自有数据处理、恶意代码分析、网络流量解析、线索发现挖掘拓展、追踪溯源,实现安全事件分析的全流程运营。团队对外输出机读威胁情报数据支持奇安信自有和第三方的检测类安全产品,实现高效的威胁发现、损失评估及处置建议提供,同时也为公众和监管方输出事件和团伙层面的全面高级威胁分析报告。

依托全球领先的安全大数据能力、多维度多来源的安全数据和专业分析师的丰富经验,红雨滴团队自2015年持续发现多个包括海莲花在内的APT团伙在中国境内的长期活动,并发布国内首个团伙层面的APT事件揭露报告,开创了国内APT攻击类高级威胁体系化揭露的先河,已经成为国家级网络攻防的焦点。

APT APT-C-23 双尾蝎