点击上方蓝字关注我们
PART
01
概述
Bahamut是一个针对中东和南亚的高级持续威胁(APT)组织,在移动端偏好使用钓鱼网站包括仿冒新闻网站、社交网站、VPN软件、聊天软件、色情软件网站分发移动端恶意木马进行攻击。
近期,安天移动威胁情报团队基于安天特马风控体系监控到多例隶属于Bahamut的移动端攻击样本,并通过该系列样本拓线出多个隶属于Bahamut的C2服务器后台。
其中一例C2后门服务器的受害者分析:其最早的受害者数据上传于2022年4月,因此推测此次攻击活动始于2022年4月之前;且该服务器中共存有65名受害者信息,受害者所处地域分布较散,包含阿根廷、澳大利亚、德国、印度、荷兰、俄罗斯、新加坡、瑞典、阿联酋、孟加拉国和英国等,其中位于印度,新加坡和荷兰的受害者居多。
图1 Bahamut移动端木马受害者分布情况
PART
02
移动端攻击载荷分析
近期发现的隶属于Bahamut的移动端恶意样本如下所示:
图2 Bahamut移动端恶意样本
以3C726B77585D359A5BBFF08AFD682971为例作简要分析
图3 Bahamut恶意样本Secure Chat
该样本恶意功能包括:
-
窃取用户通讯录信息
-
窃取用户联系人信息
-
窃取用户短信数据
-
窃取用户通知信息
-
窃取用户通话记录
-
窃取用户文件列表
-
窃取用户社交应用聊天记录,包括:conion、Facebook、singal、telegram、viber、whatsApp等
恶意样本获取信息存放到数据库中,其中MainDatabase中存放远控后门的数据,chat_database中存放着聊天软件的数据
图4 恶意样本存储受害者数据至两个不同的数据库中
MainDatabase中包括收集的conion数据、facebook、sinal、联系人、通话记录、telegram、viber、whatsapp、短信数据等
图5 MainDatabase存储数据情况
chat_database中包括message、通知信息、聊天数据等
图6 chat_databas存储数据情况
样本中包含的远控指令如下所示
图7 接收指令代码
表1-远控指令详情
恶意样本采用了Kotlin Coroutines(协程)来处理多线程操作。
图8 多线程处理方式
后台服务器的功能根据恶意样本功能进行归类展示,内容包括用户信息、联系人、通话记录、sms记录、手机文件目录、telegram信息、signal信息、messenger信息、viber信息、conion信息、protected text信息、whatsapp信息和本机应用安装列表。
图9 后台服务器登录之后的主界面
图10 详细的受害者信息
PART
03
相关仿冒钓鱼网站
以下为样本分发的仿冒网站,可以看到是关于vpn应用、聊天应用、古兰经祷告应用和色情应用
https://thesecurevpn[.]com/ :
图11 恶意样本SecureVPN分发网站
https://www.securechatnow[.]com/
图12 恶意样本Secure Chat分发网站
https://islamia[.]app/
图13 恶意样本IsLam360分发网站
https://iminglechat[.]de
图14 恶意样本Mingle分发网站
https://cc[.]de
图15 恶意样本ChatService分发网站
PART
04
受害者情况
通过分析受害者照片,发现受害者存在疑似人权组织人员。
图16 受害者终端内图片
通过分析受害者的手机安装列表,发现多个Bahamut系木马,包括securechat、securevpn、moonchat和Islam 360等。
图17 受害者安装列表分析
同时分析受害者的各聊天应用信息,发现存在分发钓鱼样本情况,推测恶意样本还通过各个聊天软件进行分发钓鱼
图18 受害者聊天内容分析
另一个同源服务器:https://gkc****************na5.de/admin/devices,从界面功能来看,样本定制化增加了聊天功能
图19 后台定制聊天功能
该同源服务器上存在样本分发链接:
https://gk*********dr5na5.de:8443/apk/ChatService_master.apk
https://gkc*********5na5.de:8443/apk/ChatService_master.apk,和此次发现的服务器上样本分发链接https://cc.de/apk/v1/ChatService_master.apk中的样本名一致,且该同源服务器与此次发现的服务器https://yc************u.de/admin/dashboard里面受害者数据存在着重复性。
图20 两款恶意应用受害者存在重复性
PART
05
总结与建议
此次基于安天特马风控体系发现的Bahamut系列样本及其后台服务器,攻击时间始于2022年4月份左右,其C2后台数据中包括了受害者的用户信息、联系人、通话记录、短信记录、手机文件目录、telegram信息、signal信息、messenger信息、viber信息、conion信息、protected text信息、whatsapp信息、app安装列表以及地理位置。
Bahamut组织善于利用精心研制的仿冒钓鱼网站分发移动端攻击载荷,此次发现的为VPN应用、聊天软件应用、古兰经祷告应用和色情应用网站,在分析受害者的安装列表中,也发现此类软件。
建议用户尽量在审核严格的官方应用市场中下载、升级移动应用,官方应用市场能过滤到大多数风险应用和恶意应用。
关于安天移动安全武汉安天信息技术有限责任公司(简称安天移动安全)成立于 2010 年,是安天科技集团旗下专注于移动智能用户生态安全防护的科技公司。自主创新的移动反病毒引擎,在 2013 年以全年最高平均检出率荣获 AV-TEST“移动设备最佳防护”奖,实现了亚洲安全厂商在全球顶级安全测评领域重量级奖项零的突破。经过十余年的发展与积累,公司的反病毒引擎产品已与移动终端设备厂商、移动应用开发者、运营商、监管部门等移动设备产业链上下游企业机构伙伴成功合作,为全球超 30 亿移动智能终端设备提供全维度、全生命周期安全护航,已发展成为全球领先的移动互联网安全防护厂商。安天移动安全始终秉承安全普惠使命,通过自主创新国际领先的安全核心技术,与产业链各方共同打造操作系统内生安全的绿色生态链,为新时代用户打造国民级安全产品,在万物互联时代营造更安全和可持续的全场景健康数字体验。
安天移动威胁情报团队致力于移动APT活动研究及移动安全攻防对抗技术研究,由一支拥有前沿移动端安全对抗技术、多年境外APT组织实战对抗经验、漏洞分析与挖掘能力的一流安全工程师团队组成。在近些年,成功通过基于安天移动样本大数据的APT特马风控预警运营体系,持续发现包含肚脑虫、利刃鹰、APT37等多个APT组织的移动端攻击活动,并依托该体系建立了一线移动端攻击活动的捕获能力、拓线溯源分析能力。安天移动威胁情报团队未来将仍持续专注于移动安全领域研究,以安全普惠为核心价值观,建设一支召之即来,来之能战,战之必胜的顶尖网络安全团队,并将长久且坚定地维护移动网络世界安全。
原文始发于微信公众号(安天AVL威胁情报中心):源于南亚的APT组织:Bahamut最新移动端攻击活动披露
