当前位置: 主页 > 财神心水论坛经典 > 正文

Donot APT组织(肚脑虫)伪装克什米尔新闻APP的攻击活动分析

作者:admin 来源:未知 浏览: 【 】 发布时间:2019-09-22 评论数:

  原标题:Donot APT组织(肚脑虫)伪装克什米尔新闻APP的攻击活动分析

  Donot“肚脑虫”(APT-C-35)是疑似具有南亚背景的APT组织,由奇安信威胁情报中心红雨滴团队(@RedDrip7)持续跟踪发现并命名,其主要针对巴基斯坦等南亚地区国家进行网络间谍活动。

  该APT组织主要针对政府机构等领域进行攻击,以窃取敏感信息为主要目的。该APT组织除了以携带Office漏洞或者恶意宏的鱼叉邮件进行恶意代码的传播之外,还格外擅长利用安卓APK进行恶意代码传播。

  近期,随着印巴在克什米尔地区(Kashmir)冲突的不断升级,具有南亚背景的APT团伙纷纷采用该地区冲突相关信息作为诱饵针对巴基斯坦进行攻击活动。奇安信威胁情报中心刚曝光了摩诃草在PC端利用克什米尔相关信息为诱饵的攻击活动[1],同样具有南亚背景的Donot APT组织也不甘示弱开始展开其在移动端的攻击火力。奇安信红雨滴团队在捕获Donot移动端新样本的第一时间便对其进行了披露。

  此次发现的Donot新样本通过仿冒Kashmir News Service(克什米尔新闻服务)的APP“KNS”,诱骗用户安装使用。

  克什米尔新闻服务公司KNS是查谟和克什米尔的第一家在线月,现已成为该州首屈一指,可信赖的双语,英语和乌尔都语新闻机构。

  近期,印巴两军在克什米尔军事对峙线附近再度爆发了摩擦战,根据巴方披露的消息,本次交战已造成3名巴基斯坦士兵和5名印军士兵死亡。而随着克什米尔局势的“循环上升”,全世界的焦点无疑都集中在“克什米尔”,因此Donot新的诱饵通过仿冒Kashmir News Service(克什米尔新闻服务)其目的显而易见。

  此次新发现的Donot样本,其在代码结构上并没有过多的改变,恶意代码功能方面也没有增加额外的功能。而与以往的不同之处,在于对诱饵文件的“包装”以及恶意APP的功能完整性方面的“用心”。

  恶意APP运行以后,并没有以往的隐藏自身图标,而是通过仿冒Kashmir News Service(克什米尔新闻服务)展现给用户一个完整的新闻APP功能,从而达到欺骗用户放心使用,更加安全的保存了自身。

  样本运行以后会在后台,通过最新服务端(下发15种远控指令,其远控操作有:获取用户手机通话记录信息、获取用户手机通讯录信息、获取用户手机短信息、获取外置存储卡文件列表信息、获取WiFi、设备厂商等信息、获取用户地理位置信息、获取用户手机已安装软件列表等。

  指令下发服务器 指令 指令功能 mangasiso.top Call 获取用户手机通话记录信息 CT 获取用户手机通讯录信息 SMS 获取用户手机短信息 Key 获取App输入的内容信息 Tree 获取外置存储卡文件列表信息 AC 获取Account信息 Net 获取WiFi、设备厂商等信息 CR 设置用户手机电话通话录音 LR 设定特定时间段录音 FS 文件上传开关 GP 获取地理位置信息 PK 获取用户手机已安装软件列表 BW 获取chrome书签列表 CE 获取日历事件信息 Wapp 获取whatsapp聊天信息

  通过访问Kashmir News Service(克什米尔新闻服务)官方新闻链接,诱骗用户:

  通过服务端(下发15种远控指令,对用户手机进行后台操控,获取用户手机信息:

  经过我们对于Donot的持续跟踪与研究,每当巴以政治局势紧张的时候,Donot便会异常的活跃,仅2019年我们发现,Donot在移动端已进行三次改变,电信固定电话手机和宽带等业务如何在网上缴费,不论是框架结构、代码功能、伪装方式都进行了一系列的变迁。

  Donot APT组织(APT-C-35)自2017年被奇安信威胁情报中心披露后[2],一直高度活跃,并且持续升级自己的武器库,从最初的EHDevel框架到yty框架,从PC端到移动端,《中国青年网》【青年眼中的审计。都展示了该组织的高持续性与高技术性。奇安信威胁情报中心红雨滴团队将持续保持对该团伙的高度跟踪。

  目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对此类攻击的精确检测。

钓鱼岛心水论坛594444| 香港天下彩开奖结果| 小鱼儿玄机1站开奖结果| 港京图库每期最早最快囵t| 管家婆马报彩图大全| 四海图库彩色看图区| 万科库| 最老板极准生肖特马诗| 刘伯温二四六天天好彩| 财神报猛虎报发财报|