x-sec
叙利亚关系
Lookout研究人员发现71个恶意Android应用程序连接到同一命令与控制(C2)服务器。C2服务器的IP地址位于Tarassul Internet Service Provider所拥有的地址块中,Tarassul Internet Service Provider是叙利亚电信局(STE)拥有并与之共享网络基础架构的ISP(自由之家,2018年)。STE拥有为叙利亚国家资助的黑客组织叙利亚电子军(SEA)托管基础设施的历史。值得注意的是,先前由Lookout研究人员报告的Android恶意软件家族SilverH awk的C2服务器位于STE的IP地址上。 创建活动时,并非该活动中的所有应用程序都完全清除了敏感信息。SpyNote样本是恶意软件的很大一部分,它们将C2信息以及用户输入的名称,版本号和其他信息存储在res / values / strings.xml中。在这些应用程序的strings.xml 文件中,有22个APK引用“ Allosh”,该名称以前与已知的叙利亚电子军角色结合使用。 出现在与叙利亚电子军相关的其他恶意软件中的先前字符串包含此名称,例如报告中提到的“ c:\ users \ allosh hacker \ documents \ visual studio 2012 \ Projects \ allosh \ allosh \ obj \ Debug \ Windows.pdb ”由Citizen Lab对Psiphon 3规避工具的SEA恶意重新包装以及从与SilverHawk基础结构关联的二进制文件中发现的pdb路径“ c:\ Users \ Allosh Hacker \ Desktop \ Application \ obj \ Debug \ Clean Application.pdb ” 进行了重新包装。
| 截屏获取电池电量以及设备是否已插入报告位置(纬度和经度)获取已安装的应用程序列表启动恶意行为者指定的应用程序检查设备上的摄像机数量选择要访问的特定摄像机 | 创建特定的弹出消息(吐司)录音在外部存储上创建文件提取通话记录列出指定目录中包含的文件拨打电话提取短信发送短信到电话号码提取联系人列表播放铃声然后入睡 |
商业监视软件的流行
在该活动中的恶意应用程序中,有71个中有64个是SpyNote示例,这是一个著名的商业监视软件系列。其余的属于SandroRat,AndoServer和SLRat系列,其中后两个尚未公开报道。 自从其开发者于2016年5月首次发布SLRat以来,SLRat似乎已变得越来越流行,并将其广告宣传为“最佳和免费的android远程管理工具”,而AndoServer尚未在公共论坛上出售或提及。但是,根据迄今为止提取的样本,Lookout研究人员认为,这也是一种可定制的Android恶意软件,可能会出售,或者仅由一小部分运营商知道并使用。 考虑到叙利亚的审查历史以及过去的移动和台式机监视运动,因此又有一个运动在进行也就不足为奇了。SilverHawk参与者最初使用商业Android监视软件AndroRat进入了移动恶意软件领域,然后对其进行了自定义,然后开发了自己的移动工具。与已知的TTP一致,此行为者可能已采用并使用了新的商业或公共间谍工具作为新监视工作的一部分,并且可能会发现更多新工具。
自2016年以来,Lookout一直在收集AndoServer和SJRat系列的样本,到2019年底,活动量激增。
IOC(恶意应用程序的SHA1哈希):
1aefc2ebaf1a78f23473ce6275b0b514bbcdfb08 213b7f8c3f26a87b116927143289886742b979a1 321682c8395216b6f71ac1f4a1188040bbddfeb4 8cae26c899440f890a8faca2e63ba42c0195cd3b ccb143b25cedf043a8be46a1f3c3f8a0a3e4c2b2 61ecf4d82246a22dc2d390eca1e20abd6b961083 1e30cc843a32db0296502795781f8064adbceee6 a07370617fa695b047359ac345375d05a7135da0 915e3470e5ab85cb1fe565484b15004a19e88da6 3bfa1b4d98c02c43e7b3af9e536dbcd79e0b9197 d14bb8de94e6f6a733b0962c6d0847376286874f 3c5fd8b163b32cde47dd50c4b61ab087c0cad8d4 4dcc2d9ef4921b3eb4e4dc72dd3716520d558102 07c1edf35c60ea6f2ff02df6e0bfa24abb3029c1 50c607a138e33c8cbdcf2f617f61095b7efa06da b1a9bc32ece469d7e2d43e894e68cb3bec17ac82 34cb80d4e5d19fcaf724b73aacfebbb19c79337e c21919c6064c739533878da39d0feaf83e99f586 a62250430da13436b80a62f6a1fee67ed0050e37 246a17230dbe8a5c533231fa1da80d977985b111 358653280acdfd84b6ca326c9b06d12878af69c8 4ec39acfc6f3f9715d0d0e2b0a2f7121d617b605 9f09a4868f61d174ad075e5acaa8d849294dbf69 8952bdf2e3d777d01011e6f8619fca8835e8c434 b9dffff37efbfb8e577ee242c8807db967704a0d 5f6019eae4a16abd11d981b2da5d4ef05115a5c4 0b7cf990bb0dc62dd44d9fa6410ca591dfe47a5d 08162ad39a6237e4eebacf764a5ca6158816a86e f2fb9826da43f92ff69686f999f205502a33342c c2e5287433a0e3c7d059494e65b87c3c36f74a47 c7405d85a78a62003494f398084cff8f1794e2ab 16c9ef6ed5af0855a3e6b963ff9c2d65d70de11e bae5c56d3cd888ec19c42bf5d782de327d012a37 34cc91ad64f52420b6e1531c097ac1602af1f089 00455a4652faf751753b5ebfbb0656bee530f4ef b263eec151b11d0a6ebcfcf37b3b98458d2d530c 18cc448d71437e7a72558f6680ff10fb234fc64f 6a68f8d962adae7d767b6dfeb2d5b90be412b1f1 0fdc50226a7eb9aee6e6422907425d4531290374 aa43f78a2667909546c3cd993a2940b076634379 5b2e709dfc95e9fc4e4343b92c76cc2193acd49a e6962b122e14e59c7c88a25d405d6c653b31590e 9c83fdecc8429bc278d03116ca9e2cff5013987e 53653984310845988103051e7acf4ed336150b99 18451fc0e8fbe878f242e7ee1834091c455f8fc1 0f7bf07352b4d1852f651dda350fd446b3477740 615863ce030f3de3e377352637d6ecc55dfd185a b46b241620a4d5682e9083ce726827fdbf4a96e5 ab259f11163ea51767a6b17855bc0e79a8ae96e4 447165f88f951f8d26bc721f3047533a54f59ce0 29e04da270da0a6bedfcaee3f6fe8251d6cdef31 6cebf3c27fb348272b72041451b232f78190f83d e99ebc998ab63026b9b40fff55037c1b69a80369 ddf2b474a0ed1b47278d00872a84d2a2405cc33c 01963c9c70102961cb8b424f623e9be32d7b255b 8d664c9753f7bf65a8cce69dca5486971d1f06ca 2d01b7691ce5647e60c566eda33166bf2e9bcc53 44d8bc4406227aeec9711b74f771c05ddfd3d173 0c04da70ba0771734f99eba05a5676713675d0e8 37e11e1a45f166b16170e8d649c3b75ee93e90a8 dbfbfe43f04c58bcf5daa71df61dcc354bbf2d27 dc3778ffb7399e009a287983f0113e15fd8b227e 1a0a65e6b4a2c42e5dc3d7db2179c04952a03948 69f475024e006b51f7ec6a1990bad460fe9805f0 a32900a79d459da90e49ee8acf23dcfd03bfcb4b 5c8bf130f8e5c7756674a6d376dd7f25fbded4e4未经允许不得转载:x-sec » 叙利亚SEA APT组织使用71个恶意APP监视周边地区公民
