亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

傳統(tǒng)的APT攻擊主要是針對(duì)PC端進(jìn)行，而隨著智能手機(jī)和移動(dòng)網(wǎng)絡(luò)在世界范圍內(nèi)的普及發(fā)展，越來(lái)越多黑客組織的攻擊目標(biāo)也迅速蔓延到移動(dòng)端，甚至出現(xiàn)出和PC端結(jié)合的趨勢(shì)。近幾年被國(guó)內(nèi)外安全廠商陸續(xù)披露的Fancy Bear、Lazarus、Operation Manul、摩訶草、黃金鼠等多個(gè)攻擊組織無(wú)疑印證了這點(diǎn)。近期，360烽火實(shí)驗(yàn)室發(fā)現(xiàn)肚腦蟲(chóng)組織（APT-C-35）最新的攻擊已把移動(dòng)端也加入到其攻擊目標(biāo)中。

肚腦蟲(chóng)組織（APT-C-35, 后文統(tǒng)稱(chēng)肚腦蟲(chóng)組織），又稱(chēng)Donot，是一個(gè)針對(duì)克什米爾地區(qū)相關(guān)國(guó)家的政府機(jī)構(gòu)等領(lǐng)域進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)，以竊取敏感信息為主的攻擊組織。該組織于2017年3月由360追日?qǐng)F(tuán)隊(duì)首次曝光，隨后有數(shù)個(gè)國(guó)內(nèi)外安全團(tuán)隊(duì)持續(xù)追蹤并披露該組織的最新攻擊活動(dòng)。被曝光的的攻擊活動(dòng)都是針對(duì)PC端進(jìn)行，攻擊最早在2016年4月，至今活躍，攻擊方式主要采用魚(yú)叉郵件進(jìn)行攻擊。

2018年8月，一款偽裝成KNS Lite(克什米爾新聞服務(wù))移動(dòng)端RAT進(jìn)入了我們的視線。隨后我們發(fā)現(xiàn)到一批同類(lèi)的移動(dòng)端RAT，它們最早出現(xiàn)于2017年7月，在2018年進(jìn)入活躍期。綜合我們的調(diào)查數(shù)據(jù)和已知的公開(kāi)情報(bào)，可以確認(rèn)這是肚腦蟲(chóng)組織發(fā)起的一場(chǎng)針對(duì)克什米爾地區(qū)相關(guān)國(guó)家（巴基斯坦和印度）的移動(dòng)端攻擊活動(dòng)，該活動(dòng)從2017年7月持續(xù)至今，采用釣魚(yú)攻擊，推測(cè)還有郵件或者短信的魚(yú)叉攻擊。

一、載荷投遞

肚腦蟲(chóng)組織移動(dòng)端攻擊活動(dòng)載荷投遞的方式目前發(fā)現(xiàn)有釣魚(yú)攻擊；結(jié)合移動(dòng)端攻擊樣本偽裝的對(duì)象、獲取到的對(duì)應(yīng)來(lái)源名字及竊取信息有郵箱及手機(jī)號(hào)等，我們推測(cè)會(huì)使用郵件或者短信的魚(yú)叉攻擊。

釣魚(yú)網(wǎng)站

在免費(fèi)在線網(wǎng)站平臺(tái)Weebly上發(fā)現(xiàn)到一個(gè)傳播惡意載荷的網(wǎng)站（playsotreapplications.weebly.com 見(jiàn)圖1.1），該網(wǎng)站頁(yè)面內(nèi)容包含了一些動(dòng)物相關(guān)信息和多個(gè)惡意載荷下載鏈接。網(wǎng)站的特殊名稱(chēng)（playsotreapplications）、惡意載荷采用的誘惑性名字鏈接（chat_lite、vpn等）和對(duì)應(yīng)不上的簡(jiǎn)單網(wǎng)頁(yè)內(nèi)容，我們認(rèn)為這是由攻擊者構(gòu)造的釣魚(yú)網(wǎng)站。另外左側(cè)多個(gè)醒目的惡意載荷從第一次被發(fā)現(xiàn)至今已經(jīng)傳播了數(shù)周，排除了正常網(wǎng)站被用來(lái)水坑攻擊的可能，這也是上面我們認(rèn)為該站是釣魚(yú)網(wǎng)站的又一依據(jù)。

圖1.1?? 釣魚(yú)網(wǎng)站

疑郵件或者短信的魚(yú)叉

該組織之前針對(duì)PC端的多次攻擊主要采用魚(yú)叉郵件的攻擊方式，而移動(dòng)端的攻擊樣本出現(xiàn)時(shí)的圖標(biāo)和傳播時(shí)的文件名都偽裝成正常應(yīng)用，再加上攻擊時(shí)竊取的系統(tǒng)賬號(hào)(谷歌等)和通訊錄聯(lián)系人手機(jī)郵箱信息為魚(yú)叉攻擊創(chuàng)造了便利，因此我們推測(cè)該行動(dòng)可能會(huì)以魚(yú)叉郵件或者短信進(jìn)行投遞。

二、偽裝方式

肚腦蟲(chóng)組織在移動(dòng)端攻擊行動(dòng)中使用以下兩種偽裝方式，用以提升攻擊的成功率和隱蔽性。

運(yùn)行后展現(xiàn)形式偽裝

移動(dòng)端攻擊樣本按照運(yùn)行后的展現(xiàn)形式分為兩類(lèi)：一類(lèi)會(huì)自己實(shí)現(xiàn)所偽裝應(yīng)用對(duì)象的功能，運(yùn)行后展示出正常應(yīng)用的形式來(lái)隱藏后臺(tái)正在發(fā)生的間諜活動(dòng)（見(jiàn)圖2.1 左）；另一類(lèi)無(wú)正常應(yīng)用功能，運(yùn)行后提示誘導(dǎo)性欺騙消息，并隱藏圖標(biāo)刪除快捷方式進(jìn)行隱藏，實(shí)則在后臺(tái)進(jìn)行間諜活動(dòng)（見(jiàn)圖2.1 右）。?

圖2.1?? 兩種用來(lái)隱藏正在發(fā)生間諜活動(dòng)的方式舉例

文件圖標(biāo)偽裝

文件圖標(biāo)偽裝主要有兩類(lèi)：一類(lèi)是偽裝成針對(duì)性的克什米爾新聞、印度錫克教相關(guān)應(yīng)用圖標(biāo)；另一類(lèi)是偽裝成通用性的VPN、谷歌服務(wù)相關(guān)應(yīng)用圖標(biāo)。此外還有一款游戲“Cannons And Soldiers” 應(yīng)用圖標(biāo)，猜測(cè)被攻擊目標(biāo)應(yīng)該是該游戲的愛(ài)好者。涉及到的偽裝圖標(biāo)如下（見(jiàn)圖2.2）。

圖2.2?? 偽裝的應(yīng)用軟件圖標(biāo)

三、移動(dòng)端攻擊樣本分析

移動(dòng)端攻擊樣本屬于RAT，具有響應(yīng)云端指定攻擊指令（見(jiàn)圖3.1）進(jìn)行錄音、上傳聯(lián)系人/通話記錄/短信等惡意行為，除偽裝的APP名字和運(yùn)行后的偽裝展現(xiàn)形式不一樣，功能基本相同。

圖3.1?? RAT指令與功能對(duì)應(yīng)關(guān)系

四、受攻擊地區(qū)分布情況

克什米爾地區(qū)位于南亞，在印巴分治時(shí)，由于其主權(quán)所屬問(wèn)題沒(méi)有得到解決自此引發(fā)出雙方一系列的紛爭(zhēng)問(wèn)題。特殊的局勢(shì)背景，導(dǎo)致該地區(qū)遭受多個(gè)APT組織頻繁的攻擊。在對(duì)此次攻擊活動(dòng)揭露的同時(shí)，我們觀察到另一個(gè)曾被曝光的Bahamut組織，也正在該地區(qū)實(shí)行攻擊。

通過(guò)分析我們發(fā)現(xiàn)肚腦蟲(chóng)組織此次攻擊事件的目標(biāo)仍是克什米爾地區(qū)，影響的國(guó)家為巴基斯坦和印度（見(jiàn)圖4.1）。

圖4.1受攻擊的地區(qū)國(guó)家分布情況(巴基斯坦和印度)

五、溯源關(guān)聯(lián)

根據(jù)此次移動(dòng)端攻擊的獲取信息，結(jié)合公開(kāi)情報(bào)，我們從下面幾個(gè)維度，確認(rèn)此次攻擊的幕后組織為曾發(fā)起多個(gè)針對(duì)PC端攻擊活動(dòng)的肚腦蟲(chóng)組織（APT-C-35）。

C&C

移動(dòng)端和PC端分別使用的C&C中，有一個(gè)出現(xiàn)吻合（drivethrough.top）；其次移動(dòng)端的一個(gè)C&C（46.101.204.168）曾經(jīng)對(duì)應(yīng)著PC端的另一個(gè)C&C（sessions4life.pw）；最后兩端的一部分C&C都使用谷歌當(dāng)作跳板，雖然移動(dòng)端和PC端出現(xiàn)的谷歌ID不是同個(gè)。

攻擊地區(qū)

都是針對(duì)克什米爾地區(qū)國(guó)家。

命名偏好

移動(dòng)端RAT樣本均使用數(shù)字英文命名方式，而PC端出現(xiàn)過(guò)的名為“Boothelp.exe”的RAT類(lèi)也使用了相同偏好的命名方式（見(jiàn)圖5.1）。

圖5.1?? Android與PC RAT對(duì)比

六、總結(jié)

肚腦蟲(chóng)組織是一個(gè)由于國(guó)家地緣問(wèn)題產(chǎn)生的間諜情報(bào)活動(dòng)組織，攻擊目標(biāo)已從PC端發(fā)展到移動(dòng)端。雖被揭露過(guò)多次，但由于問(wèn)題沒(méi)解決，攻擊一直在持續(xù)，這也是APT的特性。需要特別注意的是，APT攻擊隨著時(shí)代的發(fā)展，PC端不再是獨(dú)有的目標(biāo)，與人聯(lián)系越緊密的每一種網(wǎng)絡(luò)設(shè)備，都會(huì)是下一個(gè)攻擊的新目標(biāo)。在當(dāng)下，移動(dòng)端安全問(wèn)題日益凸顯，移動(dòng)端APT攻擊逐漸嚴(yán)重，移動(dòng)端的安全意識(shí)和安全防護(hù)已是人們的一門(mén)必修課。

附錄A：IOC

MD5

4efdbdcb3c341f86c4ff40764cd6468f

89b04c7e0b896a30d09a138b6bc3e828

a1827a948b5d14fb79c87e8d9ec74082

7a2b1c70213ad493a053a1e252c00a54

fc385c0f00313ad3ba08576a28ca9b66

843e633b026c43b63b938effa4a36228

b7e6a740d8f1229142b5cebb1c22b8b1

c2da8cc0725558304dfd2a59386373f7

99ce8b2a17f7961a6b88ba0a7e037b5a

1b3693237173c8b7ee2942b69812eb47

7b00d9246335fd3fbb2cac2f2fe9354b

2a1de3eefb43479bfbc53f677902c993

74aa0abb618f9b898aa293cdbd499a4b

92d79d7a27966ea4668e347fe9a97c62

ca9bc074668bb04552610ee835a0e9cf

28d30f19e96200bcf5067d5fd3b69439

be4117d154339e7469d7cbabf7d36dd1

397ed4c4c372fe50588123d6885497c3

e5f774df501c631b0c14f3cf32e54dfb

47fc61cd1d939c99c000afe430451952

e8b68543c78b3dc27c7951e1dc8fae89

C&C

138.68.81.74

139.59..46.35

206.189.42.61

46.101.204.168

85.204.74.117

95.85.15.131

godspeed.geekgalaxy.com

jasper.drivethrough.top

附錄B：參考鏈接

[1]https://ti.360.net/blog/articles/latest-activity-of-apt-c-35/

[2]https://www.reuters.com/article/us-india-cyber-threat/exclusive-india-and-pakistan-hit-by-spy-malware-cybersecurity-firm-idUSKCN1B80Y2

原文鏈接：https://www.anquanke.com/post/id/156338