一个来自伊朗官方的监视行动:Domestic Kitten,样本特征明显

释放双眼,带上耳机,听听看~!

感兴趣可以了解关注一下

情报披露日期:2018.9.7

行动名称:Domestic Kitten,直译 “家猫” (大概)

组织来源:伊朗国家队

行动时间:自2016年起

攻击目标:其攻击目标为伊朗公民,这些公民基本属于

包括库尔德人和土耳其本地人以及ISIS支持者

攻击目的:监视可能对伊朗政权稳定构成威胁的个人和团体。这些可能包括内部持不同政见者和反对派力量,以及伊斯兰国的倡导者和主要在伊朗西部定居的库尔德少数民族。

攻击手段:伪装成各类主题的安卓APP,原文披露了4个hash,内容分别如下:

一、以ISIS为主题的恶意软件,名称دولة خلافة الاسلامیة

(e272df5c9abd7d4c03982bb506922428)

应用名称翻译大概如下,

我打开直接闪退= =,下为原文图

二、Hewalekem(fd735cfab42437334d20309584663c57)

这是库尔德语,查了一圈貌似是你好的意思

三、ANF新闻网站,该样本内嵌了一个webview界面,加载的是正常的

库尔德新闻网站,以此诱导用户点开。(还是没加载起来,原图)

(d0a155f29034dd913fdcf2b1631b2805)

四、Vidogram(10c9ff8200b6f9233f36323609c47fc2),这个没啥好说的,就是简单的伪装。

样本特征:

这四个样本均具有通用的特征,如下所示

一、

四个样本的证书签名均为telecom2016@yahoo[.]com这个邮箱

二、

包名均存在拼写android错误,andriod/browser

三、

收集信息如下:

短信/彩信

通讯记录

联系人列表

浏览器历史记录和书签

外接存储设备(sdcard等)

APP应用清单

剪贴板内容

地理位置和相机照片

收集录音

上面的数据通过http post请求将数据回传

四、

上面提到的以ISIS为主题的APP与其他三个不同,

像文件上传会以C&C/upload-file.php?uuid=UUID 的方式进行上传

C&C地址

剩下三个会通过base64加异或的方式解出

五、

被盗数据均采用~~~的格式进行日志记录,日志文件名为

UUID_LogDate_LogTime.log 其中UUID为受害者设备的UUID号。

下列为获取的受害者的数据信息,通过下列格式存入日志中。

上述各类收集完数据后,日志会采用AES加密,密钥为UUID,当接收到服务器命令后,会将文件发出去。

服务器的命令也与该日志格式类似,像Get~~~File这种

IOC信息

邮箱信息:

telecom2016@yahoo[.]com

ip域名信息:

162[.]248[.]247[.]172

190[.]2[.]144[.]140

190[.]2[.]145[.]145

89[.]38[.]98[.]49

Firmwaresystemupdate[.]com

Stevenwentz[.]com

Ronaldlubbers[.]site

Georgethompson[.]space

样本中一些名词

RazaMoradi

daeshsh

相关链接:

https://research.checkpoint.com/domestic-kitten-an-iranian-surveillance-operation/

再犹豫价格又涨了

本文源自微信公众号:黑鸟

人已赞赏
安全工具

每日关注之安全资讯第5期

2019-10-16 10:45:27

安全工具

windows最新在野提权0day漏洞细节披露,已被APT组织用于实际攻击

2019-10-16 10:45:34

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索