尼罗河之眼:多途径监控埃及重要人物的网络间谍行动

Change 观察 2019年10月11日发布
Favorite收藏

导语:2019年3月,埃及曾发生过针对当地记者和人权人士的网络攻击事件。

简介

2019年3月,埃及曾发生过针对当地记者和人权人士的网络攻击事件。攻击者没有依靠传统的网络钓鱼方法或窃取凭据的恶意工具,而是利用了一种更隐蔽,更有效的方式来访问受害者的收件箱——这种方法被称为“ OAuth网络钓鱼”技术,简单来说是通过滥用第三方应用程序来使用Gmail或Outlook等邮件服务,进而获得对邮箱的完全访问权限。

1.png

图1:过去的OAuth网络钓鱼活动

最近,Checkpoint发现了此次行动中未公开过的一些恶意构成,其钓鱼途径多样且隐蔽,甚至包括了在Google Play Store中上架的恶意应用。

早期构架

攻击者伪造了多个网站,使用了“邮件”、“安全”或“验证”之类的诸多词来试图伪装成合法的服务网站。

对每个网站的可视化显示了它们之间的关联性,比如都是使用NameCheap注册、具有HTTPS证书、许多都解析为相同的IP地址。

这些地址共享相同的IPv4范围或网络块(185.125.228[.]0/22),属于一家名为MAROSNET的俄罗斯电信公司。

2.png

图2:活动基础结构的可视化

虽然现在无法访问这些网站,但是通过其中一些网站的公开扫描可以看到,除了与OAuth网络钓鱼有关之外,它们还托管了伪Outlook/Facebook页面,以试图窃取用户的登录凭证:

3.png

图3:Outlook仿冒页面示例

假冒页面会访问名为“ Tarsotelvab”的帐户的Github存储库,检索其使用的CSS文件。 “ Tarsotelvab”主要活跃于2017年,共有五个存储库:

4.png

图4:Tarsotelvab在GitHub上的存储库

其中一个存储库的CSS文件涉及到卡塔尔航空、半岛电视台和一家名为AlArab的卡塔尔报纸,可能是模拟这些网站进行单独的网络钓鱼活动,但目前没有发现此类攻击。

不过可以肯定的是,以前的钓鱼攻击和OAuth钓鱼攻击都使用了相同的构架,而且到现在仍被攻击者使用。

构架2.0

许多新注册且不相关的域都解析为与此活动有关的相同IP,寻找相关指标也并非易事,但是通过搜索命名规则类似、地址中有“邮件”或“验证”字样的域名,能帮助我们进行过滤。

其中一个域maillogin[.]live,有一个开放的目录,在5月和6月期间上传了文件,可以下载和查看其所有后端脚本:

5.png

图5:maillogin[.]live上的index目录

目录里包含了许多PHP脚本、API客户机、SQL文件和配置文件,对它们的研究能揭示其内部工作方式,在这个服务器上实现的功能以及其他可能实现的功能,还有关于幕后犯罪者的一些信息。比如控制操作由攻击者向一个PHP脚本发送命令来实现,该脚本还允许攻击者查询服务器上存储的数据,它还具有自毁功能,例如中止行动或删除从受害者那里收集的所有信息:

 6.png

图6:删除函数

为了防止一些外来访问,脚本将对接收到的请求总数进行计数,如果数字超过30,则会发送邮件到地址“ [email protected] [.] com”,警告攻击者服务器上的可疑活动,并要求他们进行检查:

 7.png

图7:异常活动警报功能

攻击者创建了多个数据库来存储来自服务器的统计数据、从受害者那里窃取的数据、被列入黑名单的用户代理,等等。每个数据库的凭证被硬编码到一些脚本中,比如用户名“drivebac_drivebk”、“mailveri_shorten”或“loginacc_ifish”:

 8.png

图8:硬编码的数据库凭证

其中一个数据库甚至包括攻击者生成的钓鱼url列表,每个链接都提到了受害者的电子邮件地址。这暴露了钓鱼的可能目标,主要是来自埃及的著名记者、人权活动人士和非营利组织成员。

 9.png

图9:生成的网络钓鱼URL

第三方间谍应用

除了暴露目标受害者之外,服务器中的文件还帮助我们了解了OAuth网络钓鱼攻击的全部流程。第三方应用程序的两个配置文件引用了一个名为“ capture.php”的脚本,托管在drivebackup [.] co上。虽然无法再访问此网站,但副本在maillogin [.] live中:

10.png

图10:OAuth网络钓鱼配置

“ capture.php”脚本负责将受害者带到第三方应用程序。在被授予请求的权限之后,应用程序将重定向回此脚本,该脚本将记录有关受害者的被盗信息,并最终重定向到谷歌。

 11.png

图11:OAuth网络钓鱼入侵流程

我们发现了两个新的应用程序,要求获得受害者的基本信息和邮件地址的访问权限,还可以无限制地访问Google Drive:

 12.png

图12:新发现的OAuth Google应用程序

单击应用程序名称将显示开发人员的详细信息,开发人员的邮件地址与我们在后端脚本中观察到的邮件地址相同:

 13.png

图13:开发人员信息

应用程序会访问Gmail收件箱,但攻击者似乎并不满足于只查看电子邮件,还试图将范围扩大到个人文件。

除Gmail外,其他邮件服务也成为了目标,“Mail Sender”是另一个Outlook外部应用程序,于2018年1月创建的:

 14.png

图14:OAuth Outlook应用程序

除此以外,关于drivebackup [.co]的信息知之甚少。

间谍程序v1.apk

早在2月份,VirusTotal对此Android应用程序只检测出了一项,称为“ v1.apk”:

15.png

图15:Android应用程序

此样本没有图标,其构建类型设置为“ debug”,内部版本号设置为“ 1.0”,表明它仍处于早期测试阶段。

 16.png

图16:应用程序的内部配置

当应用程序运行时,会要求用户输入激活密钥,然后将激活密钥发送到drivebackup[.]co。这可能是为了过滤用户,因为密钥必须经过服务器的批准。

17.png

图17:应用程序的界面

密钥获得批准后,应用程序实施其唯一功能:收集有关用户位置的信息。设备的确切坐标、坐标精度、本地时间和电池状态也都上传到drivebackup [.] co:

 18.png

图18:应用程序收集的信息

此功能本身非恶意,但与其他功能结合使用时,会引发许多危险。

19.png

图19:应用程序的图标和名称

该应用程序称自己为“iLoud 200%”,其主要活动的名称为“iLoud”,并向用户显示消息称“ringtone is now 100% louder”,应用程序会伪装成增加设备容量的服务。

另一个警告标志是收集坐标的服务,会在设备启动时自动运行。如果由于某种原因停止,则将广播发送到另一个类,后者负责重新启动该服务并确保其继续运行:

20.png

图20:服务功能

我们意识到此应用程序指在随时监控安装在其上的设备的位置,并隐藏其真实意图,它的创建目的应该是出于监视受害者。

v1.apk更多信息

“ v1.apk”于1月上传到indexy [.] org:

21.png

图21:应用程序的上传时间戳

indexy [.] org上有一个管理此应用程序的管理面板,该应用程序在登录页面中称为“ I.Track”:

22.png

图22:C&C Web登录面板

面板需要的许多JS和CSS文件都丢失了,无法加载,它的大部分资源需要从drivebackup [.] co中导入:

23.png

图23:源代码指向drivebackup [.] co

目录“styles”包含了登录后可供管理员使用的页面的HTML模板:

24.png

图24:indexy [.] org上的其他部件

检查HTML页面的名称可以看出面板的执行操作:添加目标、控制现有目标并跟踪所有目标。其中一个名为“ trackgroup.html”的页面将初始化Google地图,向其中添加收集的坐标,定义的默认位置放大为:

25.png

图25:嵌入的初始坐标

这些坐标指向开罗的一座未命名建筑,尚不清楚它是否是开发人员所在地,还是因为它靠近受监视目标所设的一个默认位置:

 26.png

图26:坐标的Google Maps视图

另外一个有趣的发现是在“styles”下的“ dist”目录中,该目录包含AdminLTE引导模板默认提供的图像,还包含两个其他图标,分别称为“ logo.png”和“ logo_ifish.png”,提到了“ iFish”一词:

27.png

图27:“ dist”目录下的iFish图标

“iFish”这个词以前出现在maillogin[.]live中用于访问数据库的一个凭据对中,它可能指的是项目的内部名称:

28.png

图28:过去出现的iFish

indexy[.]org还与一个名为“ IndexY”的Android应用程序有关。

间谍程序IndexY

“ IndexY”在Google Play中的下载量超过5000:

29.png

图29:Google Play上的IndexY应用程序

IndexY类似于TrueCaller,允许用户查找电话号码或其所有者的详细信息。IndexY在说明中声称拥有一个超过1.6亿个电话号码的大型数据库,数据库似乎只针对讲阿拉伯语的用户。

包名称中提到“ Index Masr”,意思是“ Index Egypt”。此外,IndexY用户的默认国家/地区显示该服务主要针对埃及人:

 30.png

图30:嵌入的位置配置

安装该应用程序后,它可以访问用户的联系人和通话记录,但该应用程序不仅可以从通话记录中导出电话号码,还可以记录每个通话的方向(来电,去电或未接来电),接听日期及其持续时间:

 31.png

图31:应用程序记录的呼叫信息

IndexY的“styles”目录

与先前的情况类似,IndexY有一个管理面板来控制。“styles”目录可以查看管理员登录后所获得页面的HTML模板:

32.png

图32:indexy [.] org的文件夹视图

该目录包含2016年上载的HTML页面,其中两个甚至与位置跟踪面板中找到并重用的页面相同。

页面显示,管理员可以存储和检查从用户收集的信息,包括每个国家的用户数量列表、详细的通话记录,甚至包括用户的国际通话列表:

 33.png

图33:显示信息

基于此可以判断,IndexY背后的运营人员在滥用访问权限,他们不只是存储应用程序收集的数据,还会仔细分析数据,并在其中查找可疑活动,这远远超出了像TrueCaller这类服务的范围。

IndexY跟钓鱼活动的目的可能相同,都是为了监视埃及的一些人物。

归因线索

有线索表明此次攻击也来自埃及,发现分为三类:

· 线索一:国际特赦组织

大赦国际报告中的域名有类似特征,但只有其中一个站点(account-login[.])有WHOIS记录,详细记录了注册者的信息,记录显示登记人来自埃及:

34.png

图34:WHOIS信息

此外,注册人的姓名和组织都提到MCIT,疑似是埃及通信和信息技术部的缩写。

另外还有诸如Telegram小组“ el7arkaelsha3bea”(埃及语“大众运动”的音译),似乎是为寻求加入“反对埃及政权的社会运动”的激进分子而设计的。

· 线索二:开放目录

maillogin [.] live中的脚本有许多语法错误和拼写错误,有的可以泄露攻击者的来历,比如使用“ Puffering”(原意应是“ Buffering”),但阿拉伯字母没有“ P”音。

还有配置文件默认时区设置为开罗时:

 35.png

图35:代码中的预定义默认时区

· 线索三:IndexY开发人员

Google Play商店中IndexY的最新版本号是11.08,前10个版本并不总是与indexy [.] org通信,还有诸如arabindex [.] info、indexmasr [.] com、servegates [.] com等网址,所有网站都解析为相同的IP地址,WHOIS记录表明它们注册的邮件地址相同,且注册人可能来自埃及。

结论

此次行动背后的攻击者可能由埃及政府支持,目标包括政治和社会活动家,知名新闻工作者以及埃及的非营利组织成员,监控途径多样。

本文翻译自:https://research.checkpoint.com/the-eye-on-the-nile/如若转载,请注明原文地址: https://www.4hou.com/info/observation/20744.html
点赞 2
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论