针对叙利亚进行攻击的APT组织—黄金鼠最新活动分析

释放双眼,带上耳机,听听看~!

       关注一下,你最棒!👆 👆👆👆

——————————————————————————

        黄金鼠(APT-C-27),从2014年11月起至今,该组织对叙利亚地区展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台从开始的Windows平台逐渐扩展至Android平台,杀伤力较大。

        

        经过监测,我发现该组织出现了一个与以前所使用 “ chatsecurelite.us.to ” 相比极其相似的新的域名 “ chatsecurelite.uk.to  ”,除了域名相似以外,还有一个目录特征也尤为一致。

最新的目录如下:

http://chatsecurelite.uk.to/wp-content/uploads/app/y/

http://chatsecurelite.uk.to/wp-content/uploads/2018/android/t/

http://chatsecurelite.uk.to/wp-content/uploads/2018/android/apks/store/

以往该组织的目录特征,可以发现具有一定的相似性。

从主站的界面也可以看出几乎一致

此前该组织的首页

下图为近期较全的样本列表

其中有一个阿拉伯语书写的样本名实际为更新offcie for mobie

从样本方面,启动后均会要求激活设备管理器,若设备是root用户,启动后基本会请求Root权限。这也是一些android木马通用的手段。

点击激活设备管理器后,APP会退出,并过一会后,图标会被隐藏。

对其中几个样本进行分析后(还没看完),发现大体框架一致,且与此前该组织Android木马的代码具有一定的相似性。

Audio开头的是录音相关

Camera是拍照

CLL是通话记录

File开头是文件操作类

GPS开头是位置监控

Packageinformation是获取用户已安装的包

SMS是获取短信

Net开头的为网络行为

Packet和protocol是解析控制指令

明天将抓几个包,看看通讯特征方面是否有发生变化。

链接还未失效,懒得一个一个算md5了,自个下吧

————————————————————————————

今日推荐阅读:

APT28 罗马假日行动

http://csecybsec.com/download/zlab/20180713_CSE_APT28_X-Agent_Op-Roman%20Holiday-Report_v6_1.pdf

————————————————————————————

下面为我的知识星球,如果需要实时接收情报的可以入球,若看到该文章样本下载链接已经失效可以进入星球下载。

本文源自微信公众号:黑鸟

人已赞赏
安全工具

.NET最新漏洞CVE-2017-8759 POC已公布,大规模攻击即将来临

2019-10-16 10:34:49

安全工具

苹果表示不紧急修复FaceTime电话窃听漏洞,目前已将该群组功能脱机

2019-10-16 10:34:55

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索