近日，360安全大腦捕獲到一起APT攻擊，我們將它命名為“拍拍熊”（APT-C-37），從2015年10月起至今，拍拍熊組織（APT-C-37）針對某武裝組織展開了有組織、有計劃、針對性的長期不間斷攻擊。該武裝組織由於其自身的政治、宗教等問題，使其成為了眾多黑客及國家的攻擊目標。

2017年3月，該武裝組織Amaq媒體頻道釋出了一條警告訊息，訊息提醒訪問者該網站已被滲透，任何訪問該網站的人都會被要求下載偽裝成Flash安裝程式的病毒檔案。從訊息中我們確定了該武裝組織是拍拍熊行動的攻擊目標，其載荷投遞方式至少包括水坑式攻擊。

一、何為“拍拍熊”？

通過分析，360烽火實驗室（360Beaconlab）發現拍拍熊組織攻擊平臺為Windows和Android，並捕獲了Android平臺攻擊樣本32個，Windows平臺攻擊樣本13個，涉及的C&C域名7個，該組織使用到的一個主要C&C位於中東某國，且和同時期的黃金鼠組織[1]使用的C&C屬於同一個網段。進一步分析對比，兩個組織有很強的關聯性，然兩者又包含有各自的特有RAT。

• 均熟悉阿拉伯語，持續數年針對Android和Windows平臺，擅長水坑攻擊。
  
• 均使用多種RAT，其中大多數雙方都有使用。
  
• 兩個組織在兩個時間段內使用了處於同一網段的C&C。

由於拍拍熊組織的攻擊目標針對的是某武裝組織，支援雙平臺攻擊，另史上曾經出現過唯一一種獲有士兵證的中東某國特色動物，結合該組織的一些其它特點以及360對 APT 組織的命名規則，我們將該組織命名為DOTA遊戲裡的一個角色名----拍拍熊。

圖1.1   拍拍熊攻擊相關的關鍵時間事件點

二、“拍拍熊”如何進行載荷投遞？

此次拍拍熊組織載荷投遞的方式主要為水坑攻擊。

Al Swarm新聞社網站（見圖2.1）是一個屬於某武裝組織的媒體網站，同樣的原因，使其也遭受著來自世界各地的各種攻擊，曾更換過幾次域名，網站目前已經下線。拍拍熊組織除了對上述提到的Amaq媒體網站進行水坑攻擊外，我們發現Al Swarm新聞社也同樣被該組織用來水坑攻擊。

圖2.1   Al Swarm新聞社網站

（注：採用archive獲取）

該水坑攻擊方式採用的是把Al Swarm站的正常APP替換成一個插入RAT後的惡意APP，其RAT具體下載連結和連結對應檔案MD5見表1。

 表1.Android端RAT程式具體下載連結和連結對應檔案MD5

除了上面兩個針對某武裝組織新聞媒體網站的水坑攻擊外，我們還發現到該組織使用到的一些其它歷史水坑攻擊見表2，包含了Android端和Windows端RAT程式具體下載連結和連結對應檔案MD5。

表2.RAT程式具體下載連結和連結對應檔案MD5

360安全大腦監測到此次拍拍熊組織攻擊活動影響到的國家共有11個 ，通過查詢可以知悉這些國家均存在某武裝組織組織人員。顯而易見，造成這個分佈現象的緣由正是該組織採用的數次針對性的水坑攻擊。

圖2.2 受攻擊的地區分佈情況

三、“拍拍熊”如何偽裝自己？

拍拍熊組織在這次行動中主要使用以下兩種誘導方式：

• 檔案圖示偽裝

圖3.1   偽裝的應用軟體圖示

• 含有正常APP功能的偽裝

為更好的躲避被察覺到，除了對檔案圖示進行偽裝外，還會把RAT插入到正常的APP中，如一款名為“زوجاتالرسول”的APP，它執行後展示的是正常時的介面，但當接收到指定的廣播時，便在後臺進行間諜活動。

圖3.2  帶有兩種RAT的偽裝APP“زوجاتالرسول”

四、使用數種針對Android和Windows的RAT

截至目前，拍拍熊組織此次攻擊活動已使用到數種分別針對Android和Windows的不同RAT。

• Android

Android端共使用到三種RAT，其中有兩種（DroidJack和SpyNote）是使用較頻繁的商業RAT，曾在多個黑客論壇上進行傳播，已被多家安全公司查殺和曝光。而另外一種我們認為是專門為此次攻擊開發的，我們命為SSLove，其僅出現在該活動中，並歷經數個版本的更新。

• DroidJack

Droidjack是一個極度流行的RAT，有自己的官網，功能強大，且有便捷的管理工具。該組織在使用Droidjack時除了直接使用外；還會把其插入到正常APP中進行隱藏，有趣的是同時SSLove也會一塊插入到該APP中，這意味著該APP會同時帶有兩種RAT。

圖4.1   Droidjack管理工具介面圖

• SpyNote
  

SpyNote類似Droidjack，雖然拍拍熊組織使用到SpyNote，但該RAT在此次攻擊活動中被用到的次數有限。

圖4.2   SpyNote管理工具介面圖

• SSLove
  

這是一個之前未被曝光的RAT。根據該RAT包含的特殊字元“runmylove”，結合其是首款被發現到的使用SqlServer實現指令互動的RAT，我們命名為SSLove。最新版本的SSLove具有竊取簡訊、通訊錄、WhatsApp和Telegram資料、使用FTP進行上傳檔案等多種功能。

該組織在使用SSLove時和Droidjack用法一樣，一種是直接使用，其中上述提到的Al Swarm網站被拍拍熊組織用來水坑攻擊時使用的偽裝APP就屬於這種；另一種是插入到正常APP中進行隱藏。

圖4.3   SSLove指令功能相關資料表

• Windows
  

Windows端共使用到三種RAT，都是在中東地區流行了數年的RAT，其中有兩種（njRAT和H-worm）曾被多次曝光，但依舊活躍。

• njRAT
  

njRAT[2]又稱Bladabindi，通過控制端可以操作受控端的登錄檔，程式，檔案等，還可以對被控端的鍵盤進行記錄。同時njRAT採用了外掛機制，可以通過不同的外掛來擴充套件njRAT的功能。

該組織在使用njRAT時大多不是直接使用，而是在njRAT的基礎上進行了二次封裝，使用C#為njRAT加了一層殼，並對殼的程式碼進行了大量的混淆。該殼的作用是在記憶體中載入njRAT執行，防止njRAT被防毒軟體檢測，而上述提到的Amaq網站被該組織用來水坑攻擊時使用的偽裝成Adobe Flash Player就屬於這種。

圖4.4從Amaq水坑活動中偽裝的惡意樣本提取出來的njRAT

• H-Worm
  

H-Worm是一個基於VBS（VisualBasic Script）的RAT，該RAT情況資訊可參閱FireEye之前發表的詳細報告《Now You See Me - H-worm byHoudini》[3]。此次攻擊使用的是混淆變異後的H-Worm版本，去除混淆後進行分析，我們發現其指令列表並無變化。

圖4.5  混淆的H-Worm程式碼片

 表3     H-Worm樣本指令與功能對應關係

• Fkn0wned
  

fkn0wned是一款通過VB.NET編寫的RAT，此次攻擊使用的屬於一個早期版本，僅接收“DOWNLOAD”指令，DDoS功能程式碼並未起作用，該RAT實際是個下載者。

圖4.6   fkn0wned配置資訊及指令響應程式碼圖C&C、IP及部分樣本對應關係

 圖4.7   C&C、IP及部分樣本對應關係

五、“ 拍拍熊 ”發現者360烽火實驗室是何方神聖？

360烽火實驗室，致力於Android病毒分析、移動黑產研究、移動威脅預警以及Android漏洞挖掘等移動安全領域及Android安全生態的深度研究。

作為全球頂級移動安全生態實驗室，360烽火實驗室在全球範圍內首發了多篇具備國際影響力的Android木馬分析報告和Android木馬黑色產業鏈研究報告。實驗室在為360手機衛士、360手機急救箱、360手機助手等提供核心安全資料和頑固木馬清楚解決方案的同時，也為上百家國內外廠商、應用商店等合作伙伴提供了移動應用安全檢測服務，全方位守護移動安全。

隨著地緣政治衝突等問題，各方試圖通過網路情報和網路攻擊活動佔領先機，進一步造成網路空間衝突的加劇。此次拍拍熊組織又是一個基於此而產生的間諜情報活動組織，沒有和平的因素，攻擊不可能會停止。近期報導稱中東某國境內的某武裝組織最後據點被攻下且被宣滅亡，這或許意味著拍拍熊組織的攻擊活動將會有所變化，最後願早日長久和平!

附錄A：樣本MD5

附錄B：C&C

附錄C：參考連結

[1] https://ti.360.net/blog/articles/analysis-of-apt-c-27/

[2] https://en.wikipedia.org/wiki/Njrat

[3]https://www.fireeye.com/blog/threat-research/2013/09/now-you-see-me-h-worm-by-houdini.html