獨家揭祕“拍拍熊”(APT-C-37):持續對某武裝組織發起攻擊!

360安全衛士發表於2019-03-25


近日,360安全大腦捕獲到一起APT攻擊,我們將它命名為“拍拍熊”(APT-C-37),從2015年10月起至今,拍拍熊組織(APT-C-37)針對某武裝組織展開了有組織、有計劃、針對性的長期不間斷攻擊。該武裝組織由於其自身的政治、宗教等問題,使其成為了眾多黑客及國家的攻擊目標。


2017年3月,該武裝組織Amaq媒體頻道釋出了一條警告訊息,訊息提醒訪問者該網站已被滲透,任何訪問該網站的人都會被要求下載偽裝成Flash安裝程式的病毒檔案。從訊息中我們確定了該武裝組織是拍拍熊行動的攻擊目標,其載荷投遞方式至少包括水坑式攻擊。


一、何為“拍拍熊”?


通過分析,360烽火實驗室(360Beaconlab)發現拍拍熊組織攻擊平臺為Windows和Android,並捕獲了Android平臺攻擊樣本32個,Windows平臺攻擊樣本13個,涉及的C&C域名7個,該組織使用到的一個主要C&C位於中東某國,且和同時期的黃金鼠組織[1]使用的C&C屬於同一個網段。進一步分析對比,兩個組織有很強的關聯性,然兩者又包含有各自的特有RAT。


  • 均熟悉阿拉伯語,持續數年針對Android和Windows平臺,擅長水坑攻擊。
  • 均使用多種RAT,其中大多數雙方都有使用。
  • 兩個組織在兩個時間段內使用了處於同一網段的C&C。


由於拍拍熊組織的攻擊目標針對的是某武裝組織,支援雙平臺攻擊,另史上曾經出現過唯一一種獲有士兵證的中東某國特色動物,結合該組織的一些其它特點以及360對 APT 組織的命名規則,我們將該組織命名為DOTA遊戲裡的一個角色名----拍拍熊。

獨家揭祕“拍拍熊”(APT-C-37):持續對某武裝組織發起攻擊!

圖1.1   拍拍熊攻擊相關的關鍵時間事件點


二、“拍拍熊”如何進行載荷投遞?


此次拍拍熊組織載荷投遞的方式主要為水坑攻擊


Al Swarm新聞社網站(見圖2.1)是一個屬於某武裝組織的媒體網站,同樣的原因,使其也遭受著來自世界各地的各種攻擊,曾更換過幾次域名,網站目前已經下線。拍拍熊組織除了對上述提到的Amaq媒體網站進行水坑攻擊外,我們發現Al Swarm新聞社也同樣被該組織用來水坑攻擊。


獨家揭祕“拍拍熊”(APT-C-37):持續對某武裝組織發起攻擊!

圖2.1   Al Swarm新聞社網站

(注:採用archive獲取)


該水坑攻擊方式採用的是把Al Swarm站的正常APP替換成一個插入RAT後的惡意APP,其RAT具體下載連結和連結對應檔案MD5見表1。


獨家揭祕“拍拍熊”(APT-C-37):持續對某武裝組織發起攻擊!

 表1.Android端RAT程式具體下載連結和連結對應檔案MD5


除了上面兩個針對某武裝組織新聞媒體網站的水坑攻擊外,我們還發現到該組織使用到的一些其它歷史水坑攻擊見表2,包含了Android端和Windows端RAT程式具體下載連結和連結對應檔案MD5。


獨家揭祕“拍拍熊”(APT-C-37):持續對某武裝組織發起攻擊!

表2.RAT程式具體下載連結和連結對應檔案MD5


360安全大腦監測到此次拍拍熊組織攻擊活動影響到的國家共有11個 ,通過查詢可以知悉這些國家均存在某武裝組織組織人員。顯而易見,造成這個分佈現象的緣由正是該組織採用的數次針對性的水坑攻擊。


獨家揭祕“拍拍熊”(APT-C-37):持續對某武裝組織發起攻擊!

圖2.2 受攻擊的地區分佈情況


三、“拍拍熊”如何偽裝自己?


拍拍熊組織在這次行動中主要使用以下兩種誘導方式:


  • 檔案圖示偽裝

獨家揭祕“拍拍熊”(APT-C-37):持續對某武裝組織發起攻擊!

圖3.1   偽裝的應用軟體圖示


  • 含有正常APP功能的偽裝

為更好的躲避被察覺到,除了對檔案圖示進行偽裝外,還會把RAT插入到正常的APP中,如一款名為“زوجاتالرسول”的APP,它執行後展示的是正常時的介面,但當接收到指定的廣播時,便在後臺進行間諜活動。


獨家揭祕“拍拍熊”(APT-C-37):持續對某武裝組織發起攻擊!

圖3.2  帶有兩種RAT的偽裝APP“زوجاتالرسول”


四、使用數種針對Android和Windows的RAT


截至目前,拍拍熊組織此次攻擊活動已使用到數種分別針對Android和Windows的不同RAT。


  • Android

Android端共使用到三種RAT,其中有兩種(DroidJack和SpyNote)是使用較頻繁的商業RAT,曾在多個黑客論壇上進行傳播,已被多家安全公司查殺和曝光。而另外一種我們認為是專門為此次攻擊開發的,我們命為SSLove,其僅出現在該活動中,並歷經數個版本的更新。


  • DroidJack

Droidjack是一個極度流行的RAT,有自己的官網,功能強大,且有便捷的管理工具。該組織在使用Droidjack時除了直接使用外;還會把其插入到正常APP中進行隱藏,有趣的是同時SSLove也會一塊插入到該APP中,這意味著該APP會同時帶有兩種RAT。


獨家揭祕“拍拍熊”(APT-C-37):持續對某武裝組織發起攻擊!

圖4.1   Droidjack管理工具介面圖


  • SpyNote

SpyNote類似Droidjack,雖然拍拍熊組織使用到SpyNote,但該RAT在此次攻擊活動中被用到的次數有限。


獨家揭祕“拍拍熊”(APT-C-37):持續對某武裝組織發起攻擊!

圖4.2   SpyNote管理工具介面圖


  • SSLove

這是一個之前未被曝光的RAT。根據該RAT包含的特殊字元“runmylove”,結合其是首款被發現到的使用SqlServer實現指令互動的RAT,我們命名為SSLove。最新版本的SSLove具有竊取簡訊、通訊錄、WhatsApp和Telegram資料、使用FTP進行上傳檔案等多種功能。


該組織在使用SSLove時和Droidjack用法一樣,一種是直接使用,其中上述提到的Al Swarm網站被拍拍熊組織用來水坑攻擊時使用的偽裝APP就屬於這種;另一種是插入到正常APP中進行隱藏。


獨家揭祕“拍拍熊”(APT-C-37):持續對某武裝組織發起攻擊!

圖4.3   SSLove指令功能相關資料表

  • Windows

Windows端共使用到三種RAT,都是在中東地區流行了數年的RAT,其中有兩種(njRAT和H-worm)曾被多次曝光,但依舊活躍。


  • njRAT

njRAT[2]又稱Bladabindi,通過控制端可以操作受控端的登錄檔,程式,檔案等,還可以對被控端的鍵盤進行記錄。同時njRAT採用了外掛機制,可以通過不同的外掛來擴充套件njRAT的功能。


該組織在使用njRAT時大多不是直接使用,而是在njRAT的基礎上進行了二次封裝,使用C#為njRAT加了一層殼,並對殼的程式碼進行了大量的混淆。該殼的作用是在記憶體中載入njRAT執行,防止njRAT被防毒軟體檢測,而上述提到的Amaq網站被該組織用來水坑攻擊時使用的偽裝成Adobe Flash Player就屬於這種。


獨家揭祕“拍拍熊”(APT-C-37):持續對某武裝組織發起攻擊!

圖4.4從Amaq水坑活動中偽裝的惡意樣本提取出來的njRAT


  • H-Worm

H-Worm是一個基於VBS(VisualBasic Script)的RAT,該RAT情況資訊可參閱FireEye之前發表的詳細報告《Now You See Me - H-worm byHoudini》[3]。此次攻擊使用的是混淆變異後的H-Worm版本,去除混淆後進行分析,我們發現其指令列表並無變化。


獨家揭祕“拍拍熊”(APT-C-37):持續對某武裝組織發起攻擊!

圖4.5  混淆的H-Worm程式碼片


獨家揭祕“拍拍熊”(APT-C-37):持續對某武裝組織發起攻擊!

 表3     H-Worm樣本指令與功能對應關係


  • Fkn0wned

fkn0wned是一款通過VB.NET編寫的RAT,此次攻擊使用的屬於一個早期版本,僅接收“DOWNLOAD”指令,DDoS功能程式碼並未起作用,該RAT實際是個下載者。


獨家揭祕“拍拍熊”(APT-C-37):持續對某武裝組織發起攻擊!

圖4.6   fkn0wned配置資訊及指令響應程式碼圖C&C、IP及部分樣本對應關係


獨家揭祕“拍拍熊”(APT-C-37):持續對某武裝組織發起攻擊!

 圖4.7   C&C、IP及部分樣本對應關係


五、“ 拍拍熊 ”發現者360烽火實驗室是何方神聖?


360烽火實驗室,致力於Android病毒分析、移動黑產研究、移動威脅預警以及Android漏洞挖掘等移動安全領域及Android安全生態的深度研究。


作為全球頂級移動安全生態實驗室,360烽火實驗室在全球範圍內首發了多篇具備國際影響力的Android木馬分析報告和Android木馬黑色產業鏈研究報告。實驗室在為360手機衛士、360手機急救箱、360手機助手等提供核心安全資料和頑固木馬清楚解決方案的同時,也為上百家國內外廠商、應用商店等合作伙伴提供了移動應用安全檢測服務,全方位守護移動安全。


隨著地緣政治衝突等問題,各方試圖通過網路情報和網路攻擊活動佔領先機,進一步造成網路空間衝突的加劇。此次拍拍熊組織又是一個基於此而產生的間諜情報活動組織,沒有和平的因素,攻擊不可能會停止。近期報導稱中東某國境內的某武裝組織最後據點被攻下且被宣滅亡,這或許意味著拍拍熊組織的攻擊活動將會有所變化,最後願早日長久和平!


附錄A:樣本MD5

獨家揭祕“拍拍熊”(APT-C-37):持續對某武裝組織發起攻擊!


獨家揭祕“拍拍熊”(APT-C-37):持續對某武裝組織發起攻擊!

獨家揭祕“拍拍熊”(APT-C-37):持續對某武裝組織發起攻擊!

附錄B:C&C

獨家揭祕“拍拍熊”(APT-C-37):持續對某武裝組織發起攻擊!

附錄C:參考連結

[1] https://ti.360.net/blog/articles/analysis-of-apt-c-27/

[2] https://en.wikipedia.org/wiki/Njrat

[3]https://www.fireeye.com/blog/threat-research/2013/09/now-you-see-me-h-worm-by-houdini.html


相關文章