正文

三边行动:针对南亚、中东多国长达数年的网络间谍活动

admin
admin V管理员 /0 评论 /245 阅读
1005
此篇文章发布距今已超过715天,您需要注意文章的内容或图片是否可用!



目录

Catalogue

          一、概述         四、历史攻击活动关联 

          二、详情         五、组织归因

          三、样本分析   六、总结

  


1

概述

近期微步在线捕获数起针对南亚、中东地域多个国家的 APT 攻击活动,主要涉及到签订"恰巴哈尔港协议"的三方成员国,包括伊朗、阿富汗和印度,具有明显的国家战略目的。

背后攻击组织进行的历史间谍活动至少可以追溯到2013年,擅长使用钓鱼和水坑攻击,攻击平台涉及到 PC 端和移动端,使用的工具以开源木马为主,同时也具备一定的开发能力,拥有自己的窃密后门。
恰巴哈尔港,又名恰赫巴哈尔,位于伊朗东南端锡斯坦—俾路支斯坦省的海岸,南面海运枢纽的阿拉伯海主航道,东临巴基斯坦。恰巴哈尔港向西是全球油气中心的波斯湾沿岸,向北通向石油资源丰富的中亚国家,正好处于西亚、南亚、中亚和印度洋的交汇之处,地理交通极为重要。
它所在的恰巴哈尔市是伊朗海军和空军军事重地,伊朗拥有多处大型铁矿、巨型铜矿和丰富的油气资源,靠近伊朗的阿富汗也拥有亚洲最大的铁矿和世界级的铜矿。
而参与签订恰巴哈尔港合作协议的印度和阿富汗,长期以来陆上交通受制于巴基斯坦,恰巴哈尔港的建立正好为印度、阿富汗和伊朗打开一条新的战略通道,恰巴哈尔港距离中巴经济走廊-瓜达尔港不到100公里,被称为印度版的"一带一路"。



微步情报局分析有如下发现:
  • 此次发现攻击活动背后的组织至少从2013年活跃至今,攻击地域覆盖伊朗、阿富汗、印度和巴基斯坦国家,涉及人权活动家、运输部门、军事、退役军人、极端信仰者和政府部门等;
  • 投递的后门具备 PC 和安卓双平台攻击能力,PC 平台使用 PrisrolRAT 和 QuasarRAT 两种后门,安卓平台则使用 AndroRAT 后门;
  • 在资产 Whois 信息、AndroRAT 木马配置、攻击目标和地域上,发现该组织和透明部落存在一定的重合,疑似也具备巴基斯坦背景;

  • 微步在线通过对相关样本、IP 和域名的溯源分析,共提取25条相关 IOC,可用于威胁情报检测。微步在线威胁感知平台 TDP 、本地威胁情报管理平台 TIP 、威胁情报云 API 、互联网安全接入服务 OneDNS 、主机威胁检测与响应平台 OneEDR 等均已支持对此次攻击事件和团伙的检测。


2
 
详情

近期微步在线捕获到数起攻击活动,包括针对 Windows 平台使用钓鱼攻击和水坑攻击投递具有明显目的性的恶意诱饵文档和伪装正常软件的恶意安装包,同时还有搭建伪装正常 Android 应用商店诱导受害者下载的恶意 APP。

关联发现,此次攻击活动背后组织的历史间谍活动至少可以追溯到2013年,早期针对印度地区进行攻击,在2017年"恰巴哈尔港协议"签订三方-印度、阿富汗、伊朗正式开展贸易往来后,伊朗、阿富汗以及伊朗和巴基斯坦交界-俾路支斯坦地区也被纳入攻击范围,主要涉及人权活动家、运输部门、军事、退役军人、极端信仰者和政府部门等多个领域。
通过溯源分析,发现近期捕获的移动端后门配置信息,与透明部落(TransparentTribe)组织近期使用的后门具有相同配置,这意味着两个组织或许存在一定的关联,此次攻击活动目的性较强,带有国家战略性目的,疑似具有国家背景支持的 APT 攻击组织所为。
活动特征时间线:



3

样本分析

此次发现攻击活动中的恶意样本涉及 Windows 平台和 Android 平台,Windows 平台使用多种类型恶意样本进行钓鱼和水坑攻击,在木马后门的使用上以开源木马 QuasarRAT 和命名为 PrisrolRAT 的 Delphi 特马为主,Android 平台上样本使用的都是开源 AndroRat 木马,手法则是通过伪造正常的 Android 软件下载商店,诱导受害者目标下载运行。

Windows 平台

 Windows 平台的恶意样本总共有四类,携带木马的诱饵压缩包、可执行自解压诱饵程序和两种恶意类型的文档,其中一种恶意文档以启用宏的方式释放后门。另外一种恶意文档原理和模板注入相同,但并不是常见的下载恶意文档,而是用来作为探针使用。

Android平台

通过资产域名多维度关联,发现其中一个链接下存在恶意APK样本,通过微步在线大数据平台检索发现,该APK样本是通过伪造APKPure应用商店诱导用户下载。


想要获取更详细样本分析?

点击下方链接或者“阅读原文”查看吧!



关于微步在线研究响应团队

微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。


微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。



网络攻击愈演愈烈,我们该如何应对和改变?

微步在线CTIC网络安全分析与情报大会

诚邀各位安全守卫者共同探讨

码上来报名吧!


三边行动:针对南亚、中东多国长达数年的网络间谍活动


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒zhousa.om