Bahamut组织近期攻击活动揭露

1. 载荷投递

我们监控到该组织使用其惯用的攻击手法——钓鱼网站进行载荷的投递。钓鱼网站伪装成安全聊天软件的介绍页面，并提供Android端软件的下载链接。通过钓鱼网站的域名和证书信息，可以知道此次攻击活动开始于2022年1月初，并且至今仍然活跃。

图1 钓鱼页面

图2 网站证书有效期

2. 样本分析

样本基本信息如下：

本次攻击活动中使用的样本为具备远控功能的聊天软件，聊天功能和远控功能单独开发。聊天功能的服务器地址和远控功能的C&C使用的是同一个地址。鉴于聊天和远控使用的同一个C&C地址，以及我们并没有在野外发现与此聊天功能和远控功能相似的开源或公开的源代码，因此我们猜测该样本为独立开发的攻击武器。截止目前，该样本还未被其它安全厂商识别。

图3 应用运行截图

图4 聊天和远控功能的网络配置

样本的远控功能代码主要在com.example.chatapplication.monitoring包中，恶意代码高度模块化编写质量高，使用数据库存储各类信息。除了窃取短信、联系人、通话记录等常见用户隐私信息外，还会借助辅助功能重点窃取大量知名社交软件的聊天信息。

图5 恶意包结构

相关的指令和对应功能如下：

3. 溯源和归属

根据同家族样本的签名信息，我们关联到了一个疑似归属于Bahamut组织的样本，该疑似样本和本次分析样本的C&C格式极其相似，都是使用的数字和字母的随机组合字符串，都存在一个包含相同路径(/auth/login)的URL，该URL地址显示的是相同的登录页面。并且该疑似样本的同家族样本中，存在两个下载地址是jamaat-ul-islam.com的样本，而该下载地址曾于2020年被Blackbarry披露且归属于Bahamut组织。因此我们将本次发现的攻击样本归属于Bahamut组织。

图6 组织归属

图7 Blackbarry披露的Bahamut组织的资产

4. 攻击活动和受害者分析

通过分析该家族样本的创建时间和对样本进行溯源，我们发现，该家族样本最早出现在2020年10月，并在2021年2月出现短暂活跃后一直处于平静状态，直到今年1月份又开始活跃，并且活跃至今。两次活跃期使用了不同的钓鱼网站进行载荷的投递。

图8 同家族样本活跃时间线

通过查询同家族早期样本的用户感染情况，我们发现受害用户的最早感染时间是2021年2月底，这与首次活跃期间钓鱼网站的出现时间相符，地理位置主要集中在沙特阿拉伯、巴基斯坦，这些地区也都与Bahamut组织的主要攻击目标相符。

ed43605e6d85c7eab473c30ec1b2271a

88d421b5b9a7f52f1a961e52c49019b1

45c8120d7108d4d363cddf06e662f0e9

cc2f12845d1eb4023b90c02a73827e23

869ae17c011a213560c04e97e5b53a63

241b578fe963ad199fd5bdc0bb50f4ca

http://www.jamaat-ul-islam.com/Kashmir.apk

http://jamaat-ul-islam.com/KashmirAlliance/Kashmir-Youth.apk

https://www.securechatnow.com/apk/v1/securechatnow_v1_0_6.apk

https://www.securechatnow.com/apk/v1/securechatnow_v1_0_7.apk

https://freesexvideos.ch/adult-v1.apk

h94xnghlldx6a862moj3.de

5iw68rugwfcir37uj8z3r6rfaxwd8g8cdcfcqw62.de

https://blog.talosintelligence.com/2018/07/Mobile-Malware-Campaign-uses-Malicious-MDM.html

https://www.blackberry.com/us/en/forms/enterprise/bahamut-report

https://blog.cyble.com/2021/08/10/bahamut-threat-group-targeting-users-through-phishing-campaign/

原文始发于微信公众号（360威胁情报中心）：Bahamut组织近期攻击活动揭露