BladeHawk 组织利用Facebook钓鱼攻击库尔德组织 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com

BladeHawk 组织利用Facebook钓鱼攻击库尔德组织

gejigeji 事件 2021-09-18 11:55:00
收藏

导语:新发现的 Android 888 RAT 已被 Kasablanka 组织和 BladeHawk 使用。

ESET 研究人员最近调查了针对库尔德族群的有针对性的移动间谍活动,该活动至少从2020年3月开始就很活跃。通过Facebook专门的个人资料传播两个名为888 RAT和SpyNote的安卓后门,伪装成合法的应用程序。这些个人资料似乎以库尔德语提供 Android 新闻,以及为库尔德人的支持者提供新闻。一些个人资料故意将其他间谍应用程序传播到带有亲库尔德内容的 Facebook 公共群。数据显示,仅在Facebook的几篇帖子中,就有至少1481次来自URL的下载。

新发现的 Android 888 RAT 已被 Kasablanka 组织和 BladeHawk 使用。他们都使用了不同的名称来指代相同的 Android RAT——分别是 LodaRAT 和 Gaza007。

BladeHawk Android 间谍活动

本文所指的间谍活动与2020年公开披露的两起案件直接相关。QiAnXin 威胁情报中心将这些攻击背后的组织命名为 BladeHawk,本文延续了这个名称。这两个活动都是通过 Facebook 传播的,使用的是由商业自动化工具(888 RAT 和 SpyNote)构建的恶意软件,恶意软件的所有样本都使用相同的 C&C 服务器。

传播

研究人员锁定了六个 Facebook 个人资料网页,都属于BladeHawk 活动的一部分,这些网页都分享了这些 Android 间谍应用程序。他们向 Facebook 报告了这些个人资料,目前这些页面都已被删除。其中两个页面所分享的配置文件针对的是技术用户,而另外四个配置文件的网页则伪装成库尔德支持者。所有这些资料都是在2020年创建的,创建后不久,他们就开始发布这些虚假应用程序。除了一个伪装成合法应用程序的 Android RAT 帐户外,这些帐户没有发布任何其他内容。

这些个人页面还负责向 Facebook 的各类社群分享间谍应用程序,其中大部分是库尔德斯坦地区前总统马苏德·巴尔扎尼的支持者,这些目标群体总共有超过1.1万名粉丝。

1.png

在如下的示例中,研究人员发现了通过网络钓鱼网站以及捕获 Snapchat 凭据的尝试过程。

2.png

Facebook上的网络钓鱼网站

3.png

捕获 Snapchat 凭据的尝试

研究人员跟踪分析了 28 个有代表性的帖子作为 BladeHawk 活动的一部分。这些帖子都包含虚假的应用程序描述和下载应用程序的链接,研究人员能够从这些链接下载 17 个独特的 APK。一些 APK 网络链接直接指向恶意应用程序,而另一些则指向第三方上传服务 top4top.io,它跟踪文件下载的数量。这样,研究人员就可以从 top4top.io 获得了这八个应用程序的总下载量。从 2020 年 7 月 20 日到 2021 年 6 月 28 日,这八个应用程序总共被下载了 1481 次。

4.png

关于托管在第三方服务上的一个 RAT 样本的信息

样本分析

据我们所知,该攻击活动仅针对 Android 用户,攻击者集中使用了两个商业 Android RAT 工具——888 RAT 和 SpyNote。在研究人员的分析中,他们只发现了 SpyNote的一个样本。由于它是使用旧的、已经分析过的 SpyNote 构建器构建的,因此本文只对 888 RAT 样本进行分析。

Android  888 RAT 攻击样本分析

这个商业、多平台 RAT 最初仅以 80 美元的价格面向 Windows 生态系统发布。 2018 年 6 月,它在 Pro 版本中进行了扩展,增加了构建 Android RAT 的功能(150 美元)。后来,Extreme 版本也可以创建 Linux 有效载荷(200 美元)。

它是通过开发人员的网站 888-tools[.]com 出售的:

5.jpg

888 RAT 的价格

2019 年,Pro 版本(Windows 和 Android)被发现破解,并在一些网站上免费提供。

6.jpg

888 RAT破解版

888 RAT以前没有直接参与任何有组织的攻击活动,这是该 RAT 首次被指定为网络间谍组织。

在这个发现之后,研究人员能够将Android 888 RAT与另外两个有组织的活动联系起来,详情请点此 Spy TikTok Pro Kasablanka Group 的活动描述。

具体功能

Android 888 RAT 能够执行从其 C&C 服务器收到的 42 个命令,如表 1 所示。

简而言之,它可以从设备中窃取和删除文件、截屏、获取设备位置、钓鱼式Facebook证书、获取已安装的应用程序列表、窃取用户照片、拍照、记录周围的音频和电话、拨打电话、窃取短信信息、窃取设备的联系人列表、发送短信等。

该构建器还用作 C&C 来控制所有受感染设备,因为它使用动态 DNS 供它们访问。

7.1.png

7.2.png

7.3.png

识别 888 RAT 时的一个重要因素是有效载荷的数据包名称。 Android 载荷的每个构建的数据包名称都不是自定义或随机的,而是始终使用 com.example.dat.a8andoserverx 包 ID。因此,很容易识别 888 RAT 这样的样本。

在 888 RAT 的更高版本(不是已破解的RAT构建器)中,研究人员注意到构建器能够通过使用带有硬编码密钥的AES加密字符串(命令字符串、C&C和其他纯文本字符串)来混淆字符串,但是,数据包名称仍然保持不变。

C&C

888 RAT使用自定义IP协议和端口(它不一定是标准端口),直接通过构建器GUI控制被攻击的设备。

Facebook 网络钓鱼进程

当恶意功能被触发时,888 RAT 将部署看似来自合法 Facebook 应用程序的网络钓鱼活动。当用户点击最近的应用程序按钮时,此活动看起来是合法的,如下图 所示。但是,在长按此应用程序的图标后,如下图 所示,负责 Facebook 登录请求的真实应用程序名称就会被披露。

8.jpg

最近的应用程序菜单中可见的网络钓鱼请求

9.jpg

负责网络钓鱼的真实应用程序名称

自 2018 年以来,ESET 已识别出数百个部署了 888 RAT 的 Android 设备实例。下图展示了该检测数据的分布区域。

10.jpg

Android 888 RAT的国家/地区分布

总结

该间谍活动自2020年3月以来就一直非常活跃,其只仅针对 Android 设备。它通过至少 28 个恶意 Facebook 帖子来进行钓鱼攻击,这些帖子会导致潜在受害者下载 Android 888 RAT 或 SpyNote。大多数恶意 Facebook 帖子都使用的是 888 RAT。 

本文翻译自:https://www.welivesecurity.com/2021/09/07/bladehawk-android-espionage-kurdish/如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论