近期国外安全厂商披露了一起巴基斯坦新威胁组织针对印度国防机构的移动端攻击活动,其指出攻击有效负载可能是由SpyNote Android远程管理工具或名为Craxs Rat的修改版本生成。我们曾于2023年2月观察到该相关攻击事件,由于当时掌握的线索有限,未进行披露。
基于报告中提到的信息,经过360安全大模型进行关联后,我们挖掘到了更多相关样本。分析发现所有样本均属于SpyNote家族,近期的样本使用了NPManager工具进行混淆。由于攻击方身份无法确认以及和现有APT组织没有资产重叠,因此我们暂无法将其归到特定的APT组织。
根据原始报告,我们共扩展出了25个强关联的样本,对这25个样本进行云查分析,共发现了15台受感染的移动设备。这些设备的感染时间集中在2022年12月-2023年4月。
基于360安全大模型,我们对这15台设备进行了画像分析,发现所有的设备均位于印度,其中发现了3台存在高价值的设备。
1.载荷投递分析
在对受害者进行分析过程中我们发现,大部分的受害者是通过WhatsApp接收的恶意APK文件,且文件名进行了伪装。由此可知,攻击者应该先是通过社会工程学找到了目标社交账号,然后通过WhatsApp进行聊天后向目标直接发送伪装了名称的恶意APK文件。
2.攻击样本分析
本次攻击事件使用的样本均为SpyNote家族变种,该家族样本的相关功能在我们很多报告中都有涉及,这里不再赘述。
攻击样本的伪装对象都是文档、相册、通讯录,且部分样本的文件名也极具针对性。
图 样本伪装图标
|
极具针对性的文件名 |
|
OFFICERs Restructuring Course Purposal 23.apk |
|
New SWC COMDR LT Gen BS RAJU Visit Plan 23.apk |
|
Leadership in Indian Army.apk |
|
ARMY UNITS MOV PLAN FOR LEH ANNUAL 2023-2024.apk |
|
Punjabi grammar.apk |
样本的修改时间最早是2022年10月15日,因此攻击时间可追溯到2022年。值得注意的是,近期样本开始使用公开的NPManager工具进行代码混淆,且使用这个工具的样本最早的混淆日期是2023年10月16日。可见攻击者正在测试躲避安全软件的查杀。
图 样本中包含的混淆信息
在对样本进行分析过程中发现,除了2022年的几个样本具备桌面启动图标外,后期所有样本均无启动图标。这些具备桌面启动图标的样本启动后会加载并显示Google网盘上分享的文件或文件夹,在后台进行信息窃取行动。Google网盘上的文件分别由用户名为johnjameswick60和johnkin6029的两个用户于2022年10月至11月期间创建。网盘中分享的文件包括:
-
关于人员选拔的结果清单
-
关于Punjabi语言的全面语法指南
-
关于贷款的备忘录
-
建筑工程的投标书
-
色情图片和视频、女性图片
图 《PublishResultReport_ARO_LUDHIANA》文档截图
图 《punjabi grammer notes online》文档截图
我们通过样本溯源发现了和APT-C-56(透明部落)组织相关的线索。某些样本所在的设备上也存在透明部落组织的样本,比如93f092ed4a4681992226b81a8a45468c这个样本所在设备上也存在3个透明部落组织其它Android家族以及Windows平台的样本。
|
样本MD5 |
平台 |
家族 |
|
9080713f38f1017065a68c22234a506e |
Android |
XploitSpy |
|
9014df879c09fabe3c5de7b4a67b3ec3 |
Android |
RlmRat |
|
7863d16086dbaa1f540f23c2371041ec |
Windows |
Limepad |
尽管这些并不能证明该起事件和透明部落组织有关系,但是这给我们提供了一种归属的可能性。
本次攻击事件的攻击时间开始于2022年底,且持续时间长达1年,攻击活跃期集中在2022年12月至2023年4月期间,再加上攻击目标中存在印度国防机构人员,我们高度怀疑这是一起有针对性的高级威胁攻击活动。
该起攻击活动大量使用开源软件,且攻击目标也和APT-C-56(透明部落)组织有相似之处。但是由于所能获取到的攻击方的信息比较少以及和现有APT组织没有资产重叠,因此我们暂时无法将其归到特定的APT组织。这需要我们对该事件进行持续监控挖掘更多有价值信息,完善该事件的归属。
本次攻击事件涉及的IOC:
c7262e828828e4afda9a84aac01fb726
f8c1ac62c266c9c0191f6a0a8630fcb6
b26cadcb7f703eb13493cd2b7f367902
d797af178061b2ca5226fcc00cba1530
edc94a2171c5ccd5ddf27c4104f14e95
8cfdc59eedd2c8cd9323e31d9be4b9d1
3e5785f1e0e5d0c6f0ca5fece4d9ffa0
5a5d226563e00a8e3ecb88f0b7eb6038
6fbc6360f5a6d829a32e231301497b7f
c6054efcd981663a87ec6e022f255518
396661a971d0b858034f054887c9be56
93f092ed4a4681992226b81a8a45468c
5c2347ad21f86cff059ef1abff43e59e
609feaaeac48f17c847ec72df22d4e10
4d2d8b02642409cb398d51ce0b31d9d0
a49c20a39e9cb45b1a9f3a9592068836
b55dec498c45840ba54503de7a2753cb
a8d06905e13edb72b706eca8f9c64519
86ac063c5d6244aca68bf6165a40878d
ddf68c96a630ef6ed2346b28a7b8770f
c16abd1481c2d309d8541ab7f674888f
8fbef6312c4435f69c14ad3db6056588
9b78ba333a35055cd5281fae2e65e737
f31dfe6b61933c84c3ba56e920f650b4
312ade544e5ca71640dcbbfd27fb4ed1
38.92.47[.]116
66.235.175[.]112
139.28.36[.]124
176.107.181[.]31
https://drive.google[.]com/drive/folders/1BAdfwkQCLkSrgGqJypvD2USZASq13CjC?usp=share_link
https://drive.google[.]com/file/d/1IPJ2Ujucx28uT-gbFd8a94fEQoEzmJEx/view?usp=share_link
https://drive.google[.]com/drive/folders/1OU90MRO3EXPS9r6alpQQQBw97p7E7J5t?usp=sharing
https://drive.google[.]com/drive/folders/1MYTnWvs8-xotoHTLWIUp3ks5Ye_WpZ3J?usp=share_link
https://drive.google[.]com/drive/folders/1-DfA0HohE5N2oF0CvW_9cyLxNqFPvMzz?usp=share_link
透明部落组织的IOC:
9080713f38f1017065a68c22234a506e
9014df879c09fabe3c5de7b4a67b3ec3
7863d16086dbaa1f540f23c2371041ec
https://www.cyfirma.com/research/new-pakistan-based-cyber-espionage-groups-year-long-campaign-targeting-indian-defense-forces-with-android-malware/
360烽火实验室
360烽火实验室致力于移动恶意软件分析、移动灰黑产研究、移动威胁预警、移动APT的发现与追踪等移动安全领域的深入研究。作为全球顶级移动安全生态研究实验室,360烽火实验室在全球范围内不仅首发了多篇具备国际影响力的移动安全生态研究成果,并且成功狩猎了蔓灵花、拍拍熊等多个APT组织针对我国及境外重要目标的攻击活动。实验室在为360手机卫士、360手机助手、360加固保等公司产品提供核心安全数据的同时,也为科研单位、手机厂商、应用商店及上百家国内外合作伙伴提供了移动应用安全检测服务,全方位守护移动安全
原文始发于微信公众号(360威胁情报中心):巴基斯坦新网络攻击组织针对南亚某国防机构的攻击活动
