叙利亚电子军(SEA)低调行事,持续使用安卓木马监视反对派

释放双眼,带上耳机,听听看~!

叙利亚电子军(Syrian Electronic Army)是一个支持叙利亚领导人巴沙尔·阿萨德的黑客组织。

整理大致战绩如下:

2013年8月27日,叙利亚电子军攻击《纽约时报》和Twitter。

2014年1月1日,叙利亚电子军侵入美国微软公司旗下网络通讯软件Skype的多个社交平台账户,发布讽刺微软协助美国政府监视民众通信隐私的消息。

2015年06月10日,证实叙利亚电子军成功入侵美国陆军官网

2016年,美国司法部(DoJ)对外公开了两起对三名叙利亚电子军(SEA)黑客嫌疑人发起的诉讼案。

在此之后,该黑客组织看似保持低调,但实际上其并没有停止活动:它改变了战术,现在为了达到监视的目的,而向阿萨德政权的反对者提供定制的Android恶意软件。

这款Android恶意软件名为SilverHawk,该恶意软件被认为自2016年中期开始运营,能够录制音频,拍照,下载文件,监控联系人,跟踪位置等。

下面是为了投放SilverHawk而采取的伪装应用占比图,从图可以看出,系统更新程序,Telegram更新程序和WhatsAPP更新程序占主流三大块。

以上应用会通过假冒网站或者入侵的网站进行投放,存在opendir

样本通信协议特征很明显,字段清晰

指令列表如下

在SilverHawk问世前,该组织一直在使用一款名为AndroRAT的安卓木马进行攻击,所以在这两个家族之间从界面到硬编码字段都具有一定的相似性

除了安卓马之外,作为老牌的赫赫有名的鱼叉攻击社工大军,当然还会通过鱼叉攻击进行恶意文档投放。

利用的木马有

NjRAT,H-Worm Plus,自定义的 .NET 下载者和DarkComet

不出意外,应该是通过宏请求通过pastbin进行脚本获取,并执行

pastbin id:MEDOAAAA

关联分析

通过域名和PDB信息,Th3 Pr0,可以关联到之前美国通缉案中的其中一名选手。

从样本和文档中的各类ID中,可以看到特别独有的起名风格,怀疑是成员

结合这些元素,可以组成一幅成员名单列表,右边那个ID可以玩玩

与叙利亚电子军攻击相关的分析文章

360 Threat Intelligence 

https://ti.360.net/blog/articles/analysis-of-apt-c-27/ • https://blog.360totalsecurity.com/en/the-sample-analysis-of-apt-c-27s-recent-attack/ 

Kaspersky Labs 

https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/08074802/KL_report_syrian_malware.pdf • https://securelist.com/the-syrian-malware-house-of-cards/66051/ 

FireEye 

https://www.fireeye.com/blog/threat-research/2014/08/connecting-the-dots-syrian-malware-team-uses-blackworm-for-attacks.html 

EFF 

https://www.eff.org/document/quantum-surveillance-familiar-actors-and-possible-false-flags-syrian-malware-campaigns 

Citizen Lab 

https://citizenlab.ca/2014/12/malware-attack-targeting-syrian-isis-critics/ https://issuu.com/citizenlab/docs/maliciously_repackaged_psiphon

虽然PPT没公开样本,但通过里面一些关键字以及附录的文章还是可以找到很多东西玩的,毕竟老美的敌人就是我们的朋友

欢迎加入知识星球,不坑钱不骗钱,进来可以提需求。

本文源自微信公众号:黑鸟

人已赞赏
安全工具

Absolute公司防盗追踪软件到底存在什么安全问题

2019-10-16 10:41:17

安全工具

ColdFusion被爆在野利用0day漏洞,Adobe发布紧急预警

2019-10-16 10:41:25

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索