叙利亚SEA APT组织使用71个恶意APP监视周边地区公民

监视研究人员发现了一项与叙利亚民族国家演员有关的长期监视活动,该活动最近开始使用新型冠状病毒作为最新诱剂,以诱使其下载恶意软件的目标。 自2018年1月开始以来,该活动似乎一直很活跃,针对的是讲阿拉伯语的用户,很可能在叙利亚和周边地区。这些应用程序均未在官方的Google Play商店中提供,这表明它们可能是通过演员经营的饮水坑或第三方应用程序商店分发的。Lookout 先前报道了另一起针对COOLID-19的利比亚间谍软件的监视活动。
此监视活动中的应用程序模拟了各种应用程序,这些应用程序的标题包括“ Covid19”,“ Telegram Covid_19”,“ Android Telegram”和“ Threema Arabic”(端到端加密消息传递应用程序),以及电话信号增强器和OfficeSuite应用程序。程序包名称还暗示了针对叙利亚的目标,例如“ com.syria.tel ”,“ syria.tel.ctu ”和“ com.syriatel.ctu ”。
叙利亚关系
Lookout研究人员发现71个恶意Android应用程序连接到同一命令与控制(C2)服务器。C2服务器的IP地址位于Tarassul Internet Service Provider所拥有的地址块中,Tarassul Internet Service Provider是叙利亚电信局(STE)拥有并与之共享网络基础架构的ISP(自由之家,2018年)。STE拥有为叙利亚国家资助的黑客组织叙利亚电子军(SEA)托管基础设施的历史。值得注意的是,先前由Lookout研究人员报告的Android恶意软件家族SilverH awk的C2服务器位于STE的IP地址上。 创建活动时,并非该活动中的所有应用程序都完全清除了敏感信息。SpyNote样本是恶意软件的很大一部分,它们将C2信息以及用户输入的名称,版本号和其他信息存储在res / values / strings.xml中。在这些应用程序的strings.xml 文件中,有22个APK引用“ Allosh”,该名称以前与已知的叙利亚电子军角色结合使用。 出现在与叙利亚电子军相关的其他恶意软件中的先前字符串包含此名称,例如报告中提到的“ c:\ users \ allosh hacker \ documents \ visual studio 2012 \ Projects \ allosh \ allosh \ obj \ Debug \ Windows.pdb ”由Citizen Lab对Psiphon 3规避工具的SEA恶意重新包装以及从与SilverHawk基础结构关联的二进制文件中发现的pdb路径“ c:\ Users \ Allosh Hacker \ Desktop \ Application \ obj \ Debug \ Clean Application.pdb ” 进行了重新包装。
strings.xml文件的屏幕截图,以及在此广告系列中发现的所有唯一角色。 叙利亚电子军最近一直很活跃,他们的一个Twitter帐户本月声称对比利时媒体的DDoS攻击负有责任,并于2020年4月7日破坏 PayPal和eBay网站。
@ Official_SEA7最近的两项声明,这是叙利亚电子军的多个Twitter帐户之一,自2013年以来一直处于活动状态。 众所周知,叙利亚当局严密审查其国家的互联网,叙利亚在《无国界记者组织2019年世界新闻自由指数》中排名第174 位。此外,根据对民主,政治自由和人权进行研究和宣传的非政府组织Freedom House发布的《 2018年网络自由报告》,“在政府控制的地区,叙利亚电信机构(STE)为作为ISP和电信监管机构,为政府提供了对Internet基础结构的严格控制。此外,还要求私人固网和移动ISP签署谅解备忘录,以通过叙利亚信息组织(SIO)控制的网关连接到国际互联网。”(网络自由2018)。
安装后,原始的Covid19应用程序将隐藏其图标,并仅显示新安装的度数测量应用程序。 新安装的应用程序(com.finger.body.temperature.ap )是一个恶作剧-用作诱饵的假数字温度计。同时,恶意软件继续在后台运行。
用户按住指纹的屏幕,并被告知其体温为35°C。 一些AndoServer样本纯粹是监视软件,甚至不假装其他任何东西,而其他样本(如此处的样本)在恶意软件中包含合法应用程序,而良性APK隐藏在res / raw 文件夹中。 AndoServer示例接收命令,并能够:
截屏获取电池电量以及设备是否已插入报告位置(纬度和经度)获取已安装的应用程序列表启动恶意行为者指定的应用程序检查设备上的摄像机数量选择要访问的特定摄像机 创建特定的弹出消息(吐司)录音在外部存储上创建文件提取通话记录列出指定目录中包含的文件拨打电话提取短信发送短信到电话号码提取联系人列表播放铃声然后入睡
AndoServer恶意软件的C2域或IP地址已硬编码到源代码中。每个样本在与C2服务器通信时也都有其自己的唯一标识符字符串,该字符串似乎由参与者监视其库中哪个应用程序造成危害,因为他们可以看到特定服务器安装的唯一应用程序。受害者。虽然并非总是如此,但某些唯一标识符类似于C2域的名称,而其他时候则引用应用程序的标题,突出显示了此恶意软件的另一种自定义级别。
商业监视软件的流行
在该活动中的恶意应用程序中,有71个中有64个是SpyNote示例,这是一个著名的商业监视软件系列。其余的属于SandroRat,AndoServer和SLRat系列,其中后两个尚未公开报道。 自从其开发者于2016年5月首次发布SLRat以来,SLRat似乎已变得越来越流行,并将其广告宣传为“最佳和免费的android远程管理工具”,而AndoServer尚未在公共论坛上出售或提及。但是,根据迄今为止提取的样本,Lookout研究人员认为,这也是一种可定制的Android恶意软件,可能会出售,或者仅由一小部分运营商知道并使用。 考虑到叙利亚的审查历史以及过去的移动和台式机监视运动,因此又有一个运动在进行也就不足为奇了。SilverHawk参与者最初使用商业Android监视软件AndroRat进入了移动恶意软件领域,然后对其进行了自定义,然后开发了自己的移动工具。与已知的TTP一致,此行为者可能已采用并使用了新的商业或公共间谍工具作为新监视工作的一部分,并且可能会发现更多新工具。 自2016年以来,Lookout一直在收集AndoServer和SJRat系列的样本,到2019年底,活动量激增。
IOC(恶意应用程序的SHA1哈希):
1aefc2ebaf1a78f23473ce6275b0b514bbcdfb08 213b7f8c3f26a87b116927143289886742b979a1 321682c8395216b6f71ac1f4a1188040bbddfeb4 8cae26c899440f890a8faca2e63ba42c0195cd3b ccb143b25cedf043a8be46a1f3c3f8a0a3e4c2b2 61ecf4d82246a22dc2d390eca1e20abd6b961083 1e30cc843a32db0296502795781f8064adbceee6 a07370617fa695b047359ac345375d05a7135da0 915e3470e5ab85cb1fe565484b15004a19e88da6 3bfa1b4d98c02c43e7b3af9e536dbcd79e0b9197 d14bb8de94e6f6a733b0962c6d0847376286874f 3c5fd8b163b32cde47dd50c4b61ab087c0cad8d4 4dcc2d9ef4921b3eb4e4dc72dd3716520d558102 07c1edf35c60ea6f2ff02df6e0bfa24abb3029c1 50c607a138e33c8cbdcf2f617f61095b7efa06da b1a9bc32ece469d7e2d43e894e68cb3bec17ac82 34cb80d4e5d19fcaf724b73aacfebbb19c79337e c21919c6064c739533878da39d0feaf83e99f586 a62250430da13436b80a62f6a1fee67ed0050e37 246a17230dbe8a5c533231fa1da80d977985b111 358653280acdfd84b6ca326c9b06d12878af69c8 4ec39acfc6f3f9715d0d0e2b0a2f7121d617b605 9f09a4868f61d174ad075e5acaa8d849294dbf69 8952bdf2e3d777d01011e6f8619fca8835e8c434 b9dffff37efbfb8e577ee242c8807db967704a0d 5f6019eae4a16abd11d981b2da5d4ef05115a5c4 0b7cf990bb0dc62dd44d9fa6410ca591dfe47a5d 08162ad39a6237e4eebacf764a5ca6158816a86e f2fb9826da43f92ff69686f999f205502a33342c c2e5287433a0e3c7d059494e65b87c3c36f74a47 c7405d85a78a62003494f398084cff8f1794e2ab 16c9ef6ed5af0855a3e6b963ff9c2d65d70de11e bae5c56d3cd888ec19c42bf5d782de327d012a37 34cc91ad64f52420b6e1531c097ac1602af1f089 00455a4652faf751753b5ebfbb0656bee530f4ef b263eec151b11d0a6ebcfcf37b3b98458d2d530c 18cc448d71437e7a72558f6680ff10fb234fc64f 6a68f8d962adae7d767b6dfeb2d5b90be412b1f1 0fdc50226a7eb9aee6e6422907425d4531290374 aa43f78a2667909546c3cd993a2940b076634379 5b2e709dfc95e9fc4e4343b92c76cc2193acd49a e6962b122e14e59c7c88a25d405d6c653b31590e 9c83fdecc8429bc278d03116ca9e2cff5013987e 53653984310845988103051e7acf4ed336150b99 18451fc0e8fbe878f242e7ee1834091c455f8fc1 0f7bf07352b4d1852f651dda350fd446b3477740 615863ce030f3de3e377352637d6ecc55dfd185a b46b241620a4d5682e9083ce726827fdbf4a96e5 ab259f11163ea51767a6b17855bc0e79a8ae96e4 447165f88f951f8d26bc721f3047533a54f59ce0 29e04da270da0a6bedfcaee3f6fe8251d6cdef31 6cebf3c27fb348272b72041451b232f78190f83d e99ebc998ab63026b9b40fff55037c1b69a80369 ddf2b474a0ed1b47278d00872a84d2a2405cc33c 01963c9c70102961cb8b424f623e9be32d7b255b 8d664c9753f7bf65a8cce69dca5486971d1f06ca 2d01b7691ce5647e60c566eda33166bf2e9bcc53 44d8bc4406227aeec9711b74f771c05ddfd3d173 0c04da70ba0771734f99eba05a5676713675d0e8 37e11e1a45f166b16170e8d649c3b75ee93e90a8 dbfbfe43f04c58bcf5daa71df61dcc354bbf2d27 dc3778ffb7399e009a287983f0113e15fd8b227e 1a0a65e6b4a2c42e5dc3d7db2179c04952a03948 69f475024e006b51f7ec6a1990bad460fe9805f0 a32900a79d459da90e49ee8acf23dcfd03bfcb4b 5c8bf130f8e5c7756674a6d376dd7f25fbded4e4
0 0 vote
Article Rating

未经允许不得转载:x-sec » 叙利亚SEA APT组织使用71个恶意APP监视周边地区公民

赞 (0) 打赏
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x