360-拍拍熊（APT-C-37）：持续针对某武装组织的攻击活动揭露（网络安全）-2019.3.11-12页.pdf

拍拍熊（APT-C-37）：持续针对某武装组织的攻击活动揭露 2019 年 3 月 11 日 一、概述 从 2015 年 10 月起至今，拍拍熊组织（APT-C-37）针对某武装组织展开了有组织、有计划、针对性的长期不间断攻击。其攻击平台为 Windows 和 Android，截止目前 360 烽火实验室（360 Beaconlab）一共捕获了 Android 平台攻击样本 32个，Windows 平台攻击样本 13 个，涉及的 C&C 域名 7 个。受攻击的武装组织由于其自身的政治、宗教等问题，使其成为了众多黑客及国家的攻击目标。2017 年 3 月，该武装组织的 Amaq 网站媒体频道发布了一条警告消息，该消息提醒访问者该网站已被渗透，任何访问该网站的人都会被要求下载伪装成 Flash 安装程序的病毒文件。从消息中我们确定了该武装组织是该行动的攻击目标，其载荷投递方式至少包括水坑式攻击。通过分析，我们发现拍拍熊组织使用到的一个主要 C&C 位于中东某国，且和同时期的黄金鼠组织1使用的 C&C 属于同一个网段。进一步分析对比，两个组织有很强的关联性，然两者又包含有各自的特有 RAT。由于拍拍熊组织的攻击目标针对的是某武装组织，且支持双平台攻击，另史上曾经出现过唯一一种获有士兵证的中东某国特色动物，结合一些其它特点以及360 对 APT 组织的命名规则，我们将该组织命名为 DOTA 游戏里的一个角色名-拍拍熊。图 1.1 拍拍熊攻击相关的关键时间事件点 二、载荷投递 此次拍拍熊组织载荷投递的方式主要为水坑攻击。水坑攻击水坑攻击 Al Swarm 新闻社网站（见图 2.1）是一个属于该武装组织的媒体网站，同样的原因，使其也遭受着来自世界各地的各种攻击，曾更换过几次域名，网站目前已经下线。拍拍熊组织除了对上述提到的 Amaq 媒体网站进行水坑攻击外，我们发现 Al Swarm 新闻社也同样被该组织用来水坑攻击。图 2.1 Al Swarm 新闻社网站（注：采用 archive 获取）该水坑攻击方式采用的是把 Al Swarm 站的正常 APP 替换成一个插入 RAT后的恶意 APP，其 RAT 具体下载链接和链接对应文件 MD5 见表 1。恶意下载链接 https:/ 域名状态 失效 下载的 APK 文件 MD5 bb2d1238c8418cde13128e91f1a77ae7 表 1 Android 端 RAT 程序具体下载链接和链接对应文件 MD5 除了上面两个针对该武装组织新闻媒体网站的水坑攻击外，我们还发现到拍拍熊组织使用到的一些其它历史水坑攻击见表 2，包含了 Android 端和 Windows端 RAT 程序具体下载链接和链接对应文件 MD5。恶意下载链接 http:/androids- 域名状态 失效 下载的 APK 文件MD5 dc1ede8e2d3206b04cb95b6ae62f43e0 恶意下载链接 http:/androids- 域名状态 失效 下载的 PE 文件MD5 d2c40e2183cf18855c36ddd14f8e966f 恶意下载链接 http:/snapcard.argia.co.id/woocommerce/wp-content/plugins/Adobe_FlashPlayerX86_64.exe 域名状态 失效 下载的 PE 文件MD5 8c49833f76b17fdaafe5130f249312ca 恶意下载链接 http:/snapcard.argia.co.id/woocommerce/wp-content/plugins/Adobe_FlashPlayer_installX86.exe 域名状态 失效 下载的 PE 文件MD5 e6e676df8250a7b930b2d016458225e2 表 2 RAT 程序具体下载链接和链接对应文件 MD5 三、诱导方式 拍拍熊组织在这次行动中主要使用以下两种诱导方式：含有正常 APP 功能的伪装 为更好的躲避被察觉到，除了对文件图标进行伪装外，还会把 RAT 插入到正常的 APP 中，如一款名为“”的 APP，它运行后展示的是正常时的界面，但当接收到指定的广播时，便在后台进行间谍活动。图 3.1 带有两种 RAT 的伪装 APP“”文件图标伪装 图 3.2 伪装的应用软件图标 四、RAT 攻击样本分析 截至目前，拍拍熊组织此次攻击活动已使用到数种分别针对 Android 和Windows 的不同 RAT。Android Android 端共使用到三种 RAT，其中有两种（DroidJack 和 SpyNote）是使用较频繁的商业 RAT，曾在多个黑客论坛上进行传播，已被多家安全公司查杀和曝光。而另外一种我们认为是专门为此次攻击开发的，我们命为 SSLove，其仅出现在该活动中，并历经数个版本的更新。DroidJack Droidjack 是一个极度流行的 RAT，有自己的官网，功能强大，且有便捷的管理工具。该组织在使用 Droidjack 时除了直接使用外；还会把其插入到正常 APP中进行隐藏，有趣的是同时 SSLove 也会一块插入到该 APP 中，这意味着该 APP会同时带有两种 RAT。图 4.1 Droidjack 管理工具界面图 SpyNote SpyNote 类似 Droidjack，虽然拍拍熊组织使用到 SpyNote，但该 RAT 在此次攻击活动中被用到的次数有限。图 4.2 SpyNote 管理工具界面图 SSLove 这是一个之前未被曝光的RAT。根据该RAT包含的特殊字符“runmylove”，结合其是首款被发现到的使用 SqlServer 实现指令交互的 RAT，我们命名为SSLove。最新版本的 SSLove 具有窃取短信、通讯录、WhatsApp 和 Telegram 数据、使用 Ftp 进行上传文件等多种功能。该组织在使用 SSLove 时和 Droidjack 用法一样，一种是直接使用，其中上述提到的Al Swarm网站被拍拍熊组织用来水坑攻击时使用的伪装APP就属于这种；另一种是插入到正常 APP 中进行隐藏。图 4.3 SSLove 指令功能相关数据表 Windows Windows 端共使用到三种 RAT，都是在中东地区流行了数年的 RAT，其中有两种（njRAT 和 H-worm）曾被多次曝光，但依旧活跃。njRAT njRAT2又称 Bladabindi，通过控制端可以操作受控端的注册表，进程，文件等，还可以对被控端的键盘进行记录。同时 njRAT 采用了插件机制，可以通过不同的插件来扩展 njRAT 的功能。该组织在使用 njRAT 时大多不是直接使用，而是在 njRAT 的基础上进行了二次封装，使用 C#为 njRAT 加了一层壳，并对壳的代码进行了大量的混淆。该壳的作用是在内存中加载 njRAT 运行，防止 njRAT 被杀毒软件检测，而上述提到的 Amaq 网站被该组织用来水坑攻击时使用的伪装成 Adobe Flash Player 就属于这种。图 4.4 从 Amaq 水坑活动中伪装的恶意样本提取出来的 njRAT H-Worm H-Worm 是一个基于 VBS（Visual Basic Script）的 RAT，该 RAT 情况信息可参阅 FireEye 之前发表的详细报告Now You See Me-H-worm by Houdini3。此次攻击使用的是混淆变异后的 H-Worm 版本，去除混淆后进行分析，我们发现其指令列表并无变化。图 4.5 混淆的 H-Worm 代码片段 指令 功能 excecute 执行服务端命令 update 更新载荷 uninstall 卸载自身 send 下载文件 site-send 指定网站下载文件 recv 上传数据 enum-driver 枚举驱动 enum-faf 枚举指定目录下的文件 enum-process 枚举进程 cmd-shell 执行 shell delete 删除文件 exit-process 结束进程 sleep 设置脚本休眠时间 表 3 H-Worm 样本指令与功能对应关系 Fkn0wned fkn0wned 是一款通过 VB.NET 编写的 RAT，此次攻击使用的属于一个早期版本，仅接收“DOWNLOAD”指令，DDoS 功能代码并未起作用，该 RAT 实际是个下载者。图 4.4 fkn0wned 配置信息及指令响应代码图 C&C、IP 及部分样本对应关系 图 4.5 C&C、IP 及部分样本对应关系 五、受攻击地区分布情况 截至目前，360 烽火实验室发现此次拍拍熊组织攻击活动影响到的国家共有11 个，通过查询可以知悉这些国家均存在该武装组织人员。显而易见，造成这个分布现象的缘由正是该组织采用的数次针对性的水坑攻击导致。图 5.1 受攻击的地区分布情况 六、溯源与关联 360 烽火实验室通过对此次拍拍熊攻击活动的分析，结合之前对黄金鼠组织的分析，我们发现两个组织除掉攻击目标和各自的专属 RAT 外，两者在下面几个方面有很强的关联性。均熟悉阿拉伯语，持续数年针对 Android 和 Windows 平台，擅长水坑攻击。均使用多种 RAT，其中大多数双方都有使用。两个组织在两个时间段内使用了处于同一网段的 C&C。七、总结 随着地缘政治冲突等问题，各方试图通过网络情报和网络攻击活动占领先机，进一步造成网络空间冲突的加剧。此次拍拍熊组织又是一个基于此而产生的间谍情报活动组织，没有和平的因素，攻击不可能会停止。近期报道称中东某国境内该武装组织最后据点被攻下且被宣灭亡，这或许意味着拍拍熊组织的攻击活动将会有所变化，最后愿早日长久和平!附录 A：样本 MD5 Android 攻击样本 MD5 Windows 攻击样本 MD5 12100da4635765f8d69d684f742a47bd 085e195c9b14ef099171805c44ff4914 1d5e36be4b94289f214447964ede688d 1a655affc8d5fffa48915a934f31f95e 1daf7e38d8d918e8e087ad590b299218 291c3f5b9b53381283a044e337899c84 1eb8e8667ed7d2a07076e3d240207613 6d6961ced0e77c28f881db579301a927 249aad5d2722b69aac7ed27c9e669c79 8bb342a3e770717bd8f39ac12a687b54 2706be45411ed22ce456b8fe8273b285 8c49833f76b17fdaafe5130f249312ca 31aad6045f403fcd397e19cad4f80d1f ba1249123e808e744aeb96753bc119d4 3751db0d511305b39601e09959491d8e bfaf6389cb9fba695daa8552f697d40b 430a0b26cc53f7d39b8192d0b3f79837 d2c40e2183cf18855c36ddd14f8e966f 4333a9e5d6de6e12b368f5a943a30a0e d52f57b6597e55c40c21b0f8c763cd69 484d74ebd0e3586e2ff694017dcaa9e3 d9153bdf30e0a3ab31601e43d85c9949 51f7d6fec2be62fc29cfb94f52803428 daf7f053cf78690ff0c6ec0384d85bf2 523845736fc92ea80e9880641b768dc1 e6e676df8250a7b930b2d016458225e2 71d0cea1bee13d1e36b5a53788001b85 7d50a9bd474a7c5878ac8e0e4a183a8b 80382a7f2eb4f292a28554bc95b57938 98d584d4d575e31f9f4f70c9be05166f a31f1ce49662a60daa46180d02ab6218 a41c5f227ac2816355ce4cf650993749 a95d57eaaf7847a07e62c6ea0fecbfb7 b7d12ab736b41d503e93a0bd6125cf62 b87f516b2ee0e6df09510f75b16c25ef bb2d1238c8418cde13128e91f1a77ae7 bef2dddd8892a4985879971cf437d79b c9e434e780b5bed397c543bb3264deea d195511307a2c5ac52bebf8a98b9dfae d207a876369681ed476f650d808a25a8 dc1ede8e2d3206b04cb95b6ae62f43e0 e92651bb3ad8c5c3acf38dedb2abc2ca ea6e187934fc1459d3b04b0898496b2c eb3310f19720abddc34c4602983e4f3c f66d99406819ca96b47d7ff0881a0a1a 附录 B：C&C 66.85.157.86 82.137.255.0 da3da3.duckdns.org samd1.duckdns.org samd2.duckdns.org sorry.duckdns.org btcaes2.duckdns.org 附录 C：参考链接 1 https:/ https:/en.wikipedia.org/wiki/Njrat 3https:/ 扫码关注：金融干货精选获取更多干货资料