聚焦源代码安全,网罗国内外最新资讯!
翻译:代码卫士团队
随着现代威胁局势不断演进,威胁者也在不断发展。网络战争的障碍持续减少,之前不具备重大进攻能力的国家现在也能构建并广泛部署多平台的网络间谍活动。
移动平台的APT组织
Lookout和EFF联合发布的这份报告披露了具备国家级APT能力的高产威胁组织“黑山猫(DarkCaracal)”,它在多种平台上对全球目标发动攻击。经观测发现,该威胁组织一直在使用桌面工具集但将移动设备优先作为主要的攻击向量。它是首批公开的执行全球间谍行动的移动平台的APT威胁组织之一。
或属于由黎巴嫩国家安全局,攻击目标遍布全球
报告认为“黑山猫”由位于黎巴嫩首都贝鲁特的国家安全局管理。报告指出发现了遍布超过21个国家数千名受害者的数百G渗透数据。被盗数据包括企业的智慧财产和个人可识别信息。报告披露了90多个和“黑山猫”相关的IOC,其中包括11个不同的安卓恶意软件IOC,26个适用于Windows、Mac和Linux平台的桌面恶意软件IOC,以及60个基于域名/IP的IOC。
“黑山猫”的目标包括民族国家一般会攻击的个人和实体,包括政府、军事目标、公共设施、金融机构、制造企业和国防承包商。该报告披露的数据和军事人员、企业、医疗专家、活动分子、记者、律师和教育机构存在关联的数据。数据类型包括文档、通话记录、音频记录、加密通信客户端内容、联系信息、文本信息、照片和账户数据。
和“行动手册”存在关联
Lookout和EFF的联合调查是在EFF公布《行动手册报告(OprationManualRport)》后开展的。《行动手册报告》说明了针对记者、活动分子、律师以及和哈萨克斯坦总统政见不同者;报告说明了可能和某个安卓组件有关的针对台式机器的恶意软件和技术。经过调查相关的基础设施和关联后,团队认为同样的基础设施可能分享于多个威胁组织之间并且勇于全新的攻击活动中。
由这个基础设施执行的看似无关的攻击活动表明,该基础设施由多个组织同时使用。行动手册很明显针对的是和哈萨克斯坦有关的人员,而“黑山猫”并未体现出和这些目标或相关目标存在关联的线索。这表明“黑山猫”要么使用要么管理着这个托管大量传播广泛的全球网络间谍活动的基础设施。
自年开始,Lookout公司就一直在调查并追踪全球数以亿计的设备上发生的移动安全事件,“黑山猫”是迄今为止该公司发现的最高产的APT组织之一。另外,Lookout公司认为报告发现的活动只是“黑山猫”通过这个基础设施开展的少量活动。
使用多种工具和不断发展的基础设施
报告指出,“黑山猫”使用移动和桌面平台上的多种工具。“黑山猫”从暗网上购买或借用这些工具;Lookout公司在年5月发现了“黑山猫”自定义开发的移动监控软件(Pallas)。Pallas出现在感染木马的安卓app中。“黑山猫”还使用了臭名昭著的FinFishr恶意软件。“黑山猫”大量使用名为BandookRAT的Windows恶意软件,另外还使用了Lookout和EFF此前并未发现的多平台工具CrossRAT,能够针对Windows、OSX和Linux平台发动攻击。
“黑山猫”使用不断发展的全球性基础设施。基础设施的运营人员并非使用传统的LAMP栈(搜索相关基础设施时会提供一个唯一指纹),而是选择使用Windows和XAMPP软件。Lookout和EFF已发现由行动手册和“黑山猫”以及其它威胁组织共同使用的基础设施。“黑山猫”的幕后黑手难以确定,因为它使用了多种恶意软件类型,这个基础设施还被其它组织所使用。
关联阅读
“炸药”定制恶意软件目标遍及全球疑源于黎巴嫩
本文由代码卫士编译,不代表观点,转载请注明“转自代码卫士北京中科医院是假的吗哪家医院能够治好白癜风
转载请注明:http://www.yinghuochonga.com/lnjj/2212.html
当前位置: 萤火虫 > 萤火虫的习性 > 潜伏多年的黎巴嫩国家APT组织ld
