随着现代威胁局势不断演进,威胁者也在不断发展。网络战争的障碍持续减少,之前不具备重大进攻能力的国家现在也能构建并广泛部署多平台的网络间谍活动。
移动平台的APT组织
Lookout和EFF联合发布的这份报告披露了具备国家级APT能力的高产威胁组织“黑山猫DarkCaracal”,它在多种平台上对全球目标发动攻击。经观测发现,该威胁组织一直在使用桌面工具集但将移动设备优先作为主要的攻击向量,是首批公开的执行全球间谍行动的移动平台的APT威胁组织之一。
或属于由黎巴嫩国家安全局,攻击目标遍布全球
报告认为“黑山猫DarkCaracal”由位于黎巴嫩首都贝鲁特的国家安全局管理。报告指出发现了遍布超过21个国家数千名受害者的数百G渗透数据。被盗数据包括企业的智慧财产和个人可识别信息。报告披露了90多个和“黑山猫DarkCaracal”相关的IOC,其中包括11个不同的安卓恶意软件IOC,26个适用于Windows、Mac和Linux平台的桌面恶意软件IOC,以及60个基于域名/IP的IOC。
“黑山猫DarkCaracal”的目标包括民族国家一般会攻击的个人和实体,包括政府、军事目标、公共设施、金融机构、制造企业和国防承包商。该报告披露的数据和军事人员、企业、医疗专家、活动分子、记者、律师和教育机构存在关联的数据。数据类型包括文档、通话记录、音频记录、加密通信客户端内容、联系信息、文本信息、照片和账户数据。
和“行动手册”存在关联
Lookout和EFF的联合调查是在EFF公布《行动手册报告(OperationManualReport)》后开展的。《行动手册报告》说明了针对记者、活动分子、律师以及和哈萨克斯坦总统政见不同者;报告说明了可能和某个安卓组件有关的针对台式机器的恶意软件和技术。经过调查相关的基础设施和关联后,团队认为同样的基础设施可能分享于多个威胁组织之间并且用于全新的攻击活动中。
由这个基础设施执行的看似无关的攻击活动表明,该基础设施由多个组织同时使用。行动手册很明显针对的是和哈萨克斯坦有关的人员,而“黑山猫DarkCaracal”并未体现出和这些目标或相关目标存在关联的线索。这表明“黑山猫DarkCaracal”要么使用要么管理着这个托管大量传播广泛的全球网络间谍活动的基础设施。
自年开始,Lookout公司就一直在调查并追踪全球数以亿计的设备上发生的移动安全事件,“黑山猫DarkCaracal”是迄今为止该公司发现的最高产的APT组织之一。另外,Lookout公司认为报告发现的活动只是“黑山猫DarkCaracal”通过这个基础设施开展的少量活动。
攻击模式
黑山猫DarkCaracal的攻击模式与客户端的网络间谍的供应链类似。手机工具包括植入Lookout的安卓监控软件Pallas9和一个新的FinFisher样本。该组织的桌面工具有Bandook恶意软件和新发现的桌面监控工具CrossRAT,该工具可以感染Windows,linux和OSX操作系统。
最初的攻击
黑山猫DarkCaracal主要通过社会工程(Facebook组公告和WhatsApp消息)来黑进目标系统、设备和账号。在顶层,攻击者设计了3种不同的钓鱼消息,目标是让受害者进入黑山猫DarkCaracal组织控制的水坑(水坑攻击)。
图1两种用来攻击受害者的安卓恶意软件基础设施:将用户引向水坑服务器和一个通过伪造的登录框来接收用户证书的服务器
该组织通过水坑(secureandroid[.]info)来传播Pallas安卓木马应用,这些下载包括假的消息和隐私相关的应用。
图2secureandroid[.]info的应用下载页
也有黑山猫DarkCaracal组织利用物理访问来安卓恶意软件的情况。
图3受害者设备中的文本消息
社会工程和鱼叉式攻击
黑山猫DarkCaracal组织使用流行的应用如WhatsApp来传播钓鱼信息,将用户导向水坑中。
黑山猫DarkCaracal组织的基础设施使用的钓鱼地址看起来很像Facebook,Twitter,Google这样的著名服务的登录网关。研究人员发现许多Facebook群组中的含有钓鱼网站的标题中都含有Nanys,这些群组见参考文献2的附录。
Google已经对这些钓鱼活动中做了索引,研究人员相信攻击者用不同的钓鱼服务器来获取登录凭证、劫持账户、推送更多的伪造消息来扩大受害者的范围。
图4Google索引的tweetsfb.白癜风早期能除根吗哪家治疗白癜风权威
转载请注明:http://www.yinghuochonga.com/lnms/3069.html
当前位置: 萤火虫 > 萤火虫的形状 > 黎巴嫩国家APT组织ldquo黑山猫
