欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_新闻事件正文

黎巴嫩国度APT构造“黑山猫Dark Caracal”浮出水面

de64384a174e12dc2020-07-28146新闻

跟着古代要挟形势赓续演进,要挟者也在赓续发展。收集战役的停滞延续增加,之前不具有严重防御才能的国度如今也能构建并普遍及置多平台的收集特务运动。

挪动平台的APT构造

Lookout 和 EFF 团结宣布的这份申报表露了具有国度级 APT 才能的高产要挟构造“黑山猫Dark Caracal ”,它在多种平台上对环球目的发起进击。经观察发明,该要挟构造一直在运用桌面对象集但将挪动装备优先作为重要的进击向量,是首批公然的实行环球特务行为的挪动平台的 APT 要挟构造之一。

或属于由黎巴嫩国度平安局,进击目的遍及环球

申报以为“黑山猫Dark Caracal”由位于黎巴嫩都城贝鲁特的国度平安局治理。申报指出发清楚明了遍及凌驾21个国度数千名受害者的数百G 渗入渗出数据。被盗数据包孕企业的智慧财产和小我私家可辨认信息。申报表露了90多个和“黑山猫Dark Caracal”相干的 IOC,个中包孕11个分歧的安卓歹意软件IOC,26个适用于Windows、Mac 和 Linux 平台的桌面歹意软件IOC,和60个基于域名/IP的IOC。

“黑山猫Dark Caracal”的目的包孕民族国度一样平常会进击的小我私家和实体,包孕当局、军事目的、公共设施、金融机构、制作企业和国防承包商。该申报表露的数据和军事职员、企业、医疗专家、运动分子、记者、状师和教诲机构存在联络干系的数据。数据范例包孕文档、通话纪录、音频纪录、加密通讯客户端内容、联络信息、文本信息、照片和账户数据。

1516729111111360.png 黎巴嫩国度APT构造“黑山猫Dark Caracal”浮出水面  新闻 第1张 1516729111111360.png 黎巴嫩国度APT构造“黑山猫Dark Caracal”浮出水面  新闻 第1张

和“行为手册”存在联络干系

Lookout 和 EFF 的团结观察是在 EFF 宣布《行为手册申报 (Operation Manual Report)》后展开的。《行为手册申报》说清楚明了针对记者、运动分子、状师和和哈萨克斯坦总统政见分歧者;申报说清楚明了可以或许和某个安卓组件有关的针对台式机械的歹意软件和手艺。经由观察相干的基础设施和联络干系后,团队以为异样的基础设施可以或许分享于多个要挟构造之间而且用于全新的进击运动中。

由这个基础设施实行的看似有关的进击运动注解,该基础设施由多个构造同时运用。行为手册很明显针对的是和哈萨克斯坦有关的职员,而“黑山猫Dark Caracal”并未体现出和这些目的或相干目的存在联络干系的线索。这注解“黑山猫Dark Caracal”要末运用要末治理着这个托管少许流传普遍的环球收集特务运动的基础设施。

自2007年最先,Lookout 公司就一直在观察并追踪环球数以亿计的装备上发作的挪动平安事宜,“黑山猫Dark Caracal”是迄今为止该公司发明的最高产的APT 构造之一。别的,Lookout 公司以为申报发明的运动只是“黑山猫Dark Caracal”经由过程这个基础设施展开的少许运动。

进击形式

黑山猫Dark Caracal的进击形式与客户端的收集特务的供应链相似。手机对象包孕植入Lookout的安卓监控软件Pallas9和一个新的FinFisher样本。该构造的桌面对象有Bandook歹意软件和新发明的桌面监控对象CrossRAT,该对象可以或许沾染Windows,linux和OS X操作体系。

最后的进击

黑山猫Dark Caracal重要经由过程社会工程( Facebook组通知布告和WhatsApp音讯)来黑进目的体系、装备和账号。在顶层,进击者设想了3种分歧的垂纶音讯,目的是让受害者进入黑山猫Dark Caracal构造掌握的水坑(水坑进击)。

1516728284238571.png 黎巴嫩国度APT构造“黑山猫Dark Caracal”浮出水面  新闻 第3张 1516728284238571.png 黎巴嫩国度APT构造“黑山猫Dark Caracal”浮出水面  新闻 第3张

图 1 两种用来进击受害者的安卓歹意软件基础设施:将用户引向水坑效劳器和一个经由过程捏造的登录框来接收用户证书的效劳器

该构造经由过程水坑(secureandroid[.]info)来流传Pallas安卓木马运用,这些下载包孕假的音讯和隐私相干的运用。

 1516728306725756.png 黎巴嫩国度APT构造“黑山猫Dark Caracal”浮出水面  新闻 第5张 1516728306725756.png 黎巴嫩国度APT构造“黑山猫Dark Caracal”浮出水面  新闻 第5张

图2  secureandroid[.]info的运用下载页

也有黑山猫Dark Caracal构造应用物理接见来安卓歹意软件的状况。

 1516728325192322.png 黎巴嫩国度APT构造“黑山猫Dark Caracal”浮出水面  新闻 第7张 1516728325192322.png 黎巴嫩国度APT构造“黑山猫Dark Caracal”浮出水面  新闻 第7张

图3 受害者装备中的文本音讯

社会工程和鱼叉式进击

----------------------------------------------

申博|网络安全巴士站【https://www.bus123.net/】

申博|网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。

----------------------------------------------

黑山猫Dark Caracal构造运用盛行的运用如WhatsApp来流传垂纶信息,将用户导向水坑中。

1516728347106881.png 黎巴嫩国度APT构造“黑山猫Dark Caracal”浮出水面  新闻 第9张 1516728347106881.png 黎巴嫩国度APT构造“黑山猫Dark Caracal”浮出水面  新闻 第9张

黑山猫Dark Caracal构造的基础设施运用的垂纶地点看起来很像Facebook, Twitter, Google如许的有名效劳的登录网关。研究职员发明很多Facebook群组中的含有垂纶网站的题目中都含有Nanys,这些群组见参考文献2的附录。

Google曾经对这些垂纶运动中做了索引,研究职员置信进击者用分歧的垂纶效劳器来猎取登录凭据、挟制账户、推送更多的捏造音讯来扩展受害者的局限。 1516728532129691.png 黎巴嫩国度APT构造“黑山猫Dark Caracal”浮出水面  新闻 第11张 1516728532129691.png 黎巴嫩国度APT构造“黑山猫Dark Caracal”浮出水面  新闻 第11张

图4 Google索引的tweetsfb.com运动

黑山猫Dark Caracal对应的Facebook群组对应的垂纶链接包孕政治主题的消息,链接到假版本的Gmail等支流效劳,和含有木马的WhatsApp等。

1516728364577566.png 黎巴嫩国度APT构造“黑山猫Dark Caracal”浮出水面  新闻 第13张 1516728364577566.png 黎巴嫩国度APT构造“黑山猫Dark Caracal”浮出水面  新闻 第13张

图5 Facebook上的黑山猫Dark Caracal垂纶链接

图6中的4个Facebook小我私家引见有点像垂纶构造的运动账户。黑山猫构造用假的小我私家简介来模拟与受害者的通讯,并在将受害者引诱到“Nanys” Facebook群组或域名secureandroid[.]info前与受害者竖立优越的干系(挚友、互动)。

 1516728451790223.png 黎巴嫩国度APT构造“黑山猫Dark Caracal”浮出水面  新闻 第15张 1516728451790223.png 黎巴嫩国度APT构造“黑山猫Dark Caracal”浮出水面  新闻 第15张

图6 Dark Caracal捏造的子虚 Facebook小我私家简介

运用多种对象和赓续发展的基础设施

申报指出,“黑山猫Dark Caracal”运用挪动和桌面平台上的多种对象。“黑山猫Dark Caracal”从暗网上购置或借用这些对象;Lookout 公司在2017年5月发清楚明了“黑山猫Dark Caracal”自定义开辟的挪动监控软件 (Pallas)。Pallas 出如今沾染木马的安卓app中。“黑山猫Dark Caracal”还运用了臭名远扬的 FinFisher 歹意软件。“黑山猫Dark Caracal”少许运用名为 Bandook RAT 的 Windows 歹意软件,别的还运用了 Lookout 和 EFF 此前并未发明的多平台对象 CrossRAT,可以或许针对 Windows、OSX 和 Linux 平台发起进击。

“黑山猫Dark Caracal”运用赓续发展的环球性基础设施。基础设施的运营职员并不是运用传统的 LAMP 栈(搜刮相干基础设施时会供应一个独一指纹),而是挑选运用 Windows 和 XAMPP 软件。Lookout 和 EFF 已发明由行为手册和“黑山猫Dark Caracal”和别的要挟构造配合运用的基础设施。“黑山猫Dark Caracal”的幕后黑手难以确定,由于它运用了多种歹意软件范例,这个基础设施还被别的构造所运用。

IoC

垂纶域名

1516728678621509.png 黎巴嫩国度APT构造“黑山猫Dark Caracal”浮出水面  新闻 第17张 1516728678621509.png 黎巴嫩国度APT构造“黑山猫Dark Caracal”浮出水面  新闻 第17张

Email

op13@mail[.]com
hicham.dika@mail[.]com
nancyrazzouk@mail[.]com
alecouperus@mail[.]com
hetemramadani5@gmail.com
info@secureandroid[.]info

IP

111.90.141[.]70
111.90.145[.]64
111.90.141[.]38
111.90.158.121
111.90.141.169
111.90.145.64
111.90.150.221
180.235.133.57
172.111.250.156
77.78.103.41
74.208.167[.]252
111.90.140[.]11
111.90.150[.]221

参考文献

1. https://www.secrss.com/articles/409

2. https://info.lookout.com/rs/051-ESQ-475/images/Lookout_Dark-Caracal_srr_20180118_us_v.1.0.pdf

如若转载,请说明原文地点: http://www.4hou.com/info/news/10082.html

网友评论

1条评论
  • 2020-07-28 00:01:24

    Allbetwww.cqpazxm.com欢迎进入欧博开户平台(Allbet Gaming),欧博开户平台开放欧博(Allbet)开户、欧博(Allbet)代理开户、欧博(Allbet)电脑客户端、欧博(Allbet)APP下载等业务围观一下大佬