图1 攻击时间段

攻击活动分析 

1.攻击流程分析 

攻击者提前运营了一个Facebook账号，在实施攻击时发布包含钓鱼网站的卡塔尔世界杯相关帖子，诱导用户前往钓鱼网站下载安装恶意应用，最终实现对目标的攻击行动，攻击流程如图2所示。

2.载荷投递分析

1.1.载荷投递方式

攻击者主要通过钓鱼网站进行载荷投递，利用Facebook账号传播钓鱼网站，诱导受害者下载安装恶意应用。钓鱼网站制作精良，网站页面显示语言为阿拉伯语，并且适配了移动端和PC端，图3为移动端显示的钓鱼网站，图4为PC端显示的钓鱼网站。钓鱼网站的证书有效期的起始时间为2022年10月12日，如图5所示，表明攻击者在10月12号之前已经开始为此次攻击进行准备。

虽然钓鱼网站制作比较精良，但是通过分析钓鱼网站的源码，我们发现其制作过程比较仓促，获取恶意应用下载地址的测试代码都没有删除；并且通过源码发现，攻击者最初准备实现两个不同版本的恶意应用，目前却只使用了版本1，可能由于此次攻击时效性比较强，攻击者来不及实现版本2。如图6所示钓鱼网站部分源码。

攻击者的Facebook账号最早发贴时间为2022年10月10日，结合钓鱼网站证书有效期的起始时间，表明攻击者此次攻击是有计划的，各种操作都在有条不紊地进行。

攻击者Facebook账号首次发布包含钓鱼网站的帖子的时间为2022年11月11日，如图8所示；钓鱼网站上样本首次上传时间为2022年11月5号，如图9所示；种种迹象表明攻击者非常注重时效，尽可能在世界杯开始前做好所有准备工作。

后续我们发现2022年11月30号和2022年12月1号都有上传更新样本至钓鱼网站的情况，表明攻击活动一直都在活跃中。

1.2.恶意载荷分析

样本启动后将展示卡塔尔世界杯相关的正常功能，显示的内容为阿拉伯语，也表明攻击目标为阿拉伯语用户，其运行界面如下所示：

除此之外还会在后台获取各种设备信息回传至C&C服务器，如图12所示，并执行多种恶意功能，窃取隐私信息，其主要恶意功能如下：

• 通话录音
• 录音
• 拍照
• 获取通话记录
• 获取联系人
• 获取短信
• 键盘记录
• 截图
• 获取通话记录
• 获取已安装应用列表
• 获取位置信息
• 获取通知栏信息
• 获取文件列表
• 获取相册的缓存图片
• 获取图片以及缩略图
• 获取视频以及缩略图
• 获取文档
• 获取剪切板内容
• 获取浏览器书签和浏览记录
• 检查安装的杀软
• 执行远控命令
• root权限下获取whatsapp 聊天数据库

• root权限下获取 wire 聊天数据库

图12 回传设备信息至服务器

在样本中包含明显测试名称的包名，表明攻击者可能没有充足的时间删除或修改包名，就要将样本投入攻击活动中。

 归属研判 

受害者分析

在攻击者服务器泄露的数据中，我们发现了1068个被感染的设备，泄露数据中包含有设备时区信息，阿拉伯语区域的设备占比为92.32%，主要分布在以色列，其次是巴勒斯坦，下图为被感染设备对应的时区区域分布。

此外，泄露的数据还包含设备第一次被感染的时间，根据时间信息，我们发现世界杯开始期间感染设备量激增。

攻击组织

我们发现早在2021年3月就有报告揭露过该攻击组织的攻击活动，其中样本的打包时间最早为2020年8月23日，这表明攻击组织早在2年前已经开始实施各种攻击活动。长期的网络攻击活动需要有稳定的财政支持，表明攻击组织并非常规网络攻击组织。

在2018年世界杯期间，APT-C-23组织通过仿冒世界杯相关应用对巴以地区实施网络攻击，而此次攻击组织也是仿冒世界杯对巴以地区实施网络攻击。通过已有情报，我们无法确定此次攻击组织与APT-C-23组织存在关联，但根据受害者分布的区域，我们认为此次攻击组织熟悉巴以地区的文化和习俗，应该归属为巴以地区。

总结与建议 

世界杯全球体育最顶级赛事之一，受到世界上所有的球迷追捧，由于部分国家网络基站建设滞后，移动端应用生态不够健全，无法实现移动端观看世界杯直播。这些客观条件往往给攻击者创造了绝佳的机会，只需要简单的伪装就可以将恶意应用轻松分发给目标群体，从而实现通过网络攻击获取情报。

对于这种情况，我们列出了一些通用的安全防范排查建议。

C&C：

https://firebaseconnections.com/backendNew/public/api/

Facebook账号：

https://www.Facebook.com/profile.php?id=100086679879259

https://www.zimperium.com/blog/new-advanced-android-malware-posing-as-system-update/

原文始发于微信公众号（360威胁情报中心）：针对巴以地区围绕卡塔尔世界杯的攻击活动