0
| 本文作者: AI研習社 | 2020-03-02 19:13 |
雷鋒網按:本文授權轉載自奇安信威脅情報中心紅雨滴團隊。2015年4月22開始,截至2018年世界杯結束后的數月里,有一個網絡攻擊組織一直持續針對阿·拉伯用戶、什葉派及評論人士進行展開攻擊,不少被攻擊的社交平臺賬號變成“沉默賬號”,奇安信紅雨滴把其歸屬為一個新的組織:諾崇獅組織。至今,諾崇獅組織在其歷史攻擊活動里已使用了四種移動端的RAT,包括開源的RAT(AndroRat)和三種商業RAT(SandroRat、SpyNote及MobiHok)。
無論物理還是網絡空間的對抗,中東從來都是高度活躍的區域,奇安信紅雨滴團隊也一直保持著關注。基于長期的分析整理,本文公開一波持續幾年的定向攻擊活動及背后的團伙,值得分享到安全社區以增進我們對地緣政治背景下的網絡行動的理解。
自名為“Operation Restoring Hope” 的也門干預行動當天,也就是2015年4月22開始,截至2018年世界杯結束后的數月里,有一個網絡攻擊組織一直持續針對阿·拉伯用戶、什葉派及評論人士進行展開攻擊,在攻擊后我們發現不少被攻擊的社交平臺賬號變成“沉默賬號”,在目前已知的APT組織中均未發現和該組織有重疊,因此奇安信紅雨滴把其歸屬為一個新的組織:諾崇獅組織。
有一句話這樣形容Dota游戲里的一名角色人物—-沉默術士(諾崇):一切魔法,遭遇了他,都將歸于寂靜。其后半句用在該攻擊組織上相當吻合,再加上該組織的震懾力和其中的配合如同獅群,故我們將其命名為諾崇獅組織。隨著該組織所屬相關領導者近期可能發生的變動,該組織有可能會再度活躍。
目前已經關聯到的攻擊活動時間線總結如下:
圖1.1 諾崇獅組織在多個網站和社交平臺上發起攻擊的時間線
諾崇獅組織掌握有一個由大量機器人及雇傭而來的成百上千名年輕人組成的虛擬團隊,用于傳播虛假信息和親政府宣傳,長期以來其一直專注于監視攻擊,使國內外的批評者保持沉默,其能夠利用昂貴的間諜軟件瞄準生活在世界另一端的持不同政見者。
Twitter是該組織的主戰場,因為Twitter被當作廣受歡迎的新聞發布平臺。諾崇獅組織可能培養了兩名Twitter員工,嘗試訪問持不同政見者和激進分子的私人信息,包括電話號碼和IP。后Twitter在2015年11月11日,向幾十個被其中一名前Twitter員工訪問過帳戶的所有者發出了安全通知:“作為預防措施,我們提醒您,您的Twitter帳戶是一小部分帳戶之一,這些帳戶可能是由國家贊助的參與者所針對的”。在2019年9月20日,Twitter又發出了一個新披露通知,宣布永久暫停了一個名為卡塔尼(Saud al-Qahtani)的Twitter賬號。
類似的,該組織還會操縱YouTube和Facebook平臺,于此就不再展開描述。
諾崇獅組織在攻擊活動展開期間,紅雨滴團隊捕獲到其至少投入近十名攻擊投遞者在多個網站和社交平臺上進行非定向的水坑傳播式釣魚攻擊及定向目標的魚叉攻擊。
至今已發現有數名攻擊者在配合發布釣魚信息,發布地點涉及了三個網站與三個社交平臺(視頻平臺YouTube、聊天平臺Telegram和社交平臺Twitter)。釣魚消息使用的語言均為阿拉·伯語,僅從YouTube平臺進行評估,約有萬名用戶可能受到攻擊影響。
(1)攻擊者在Qassimy游戲網站進行發布虛假游戲信息,誘導用戶轉向釣魚網站進行惡意載荷的下載。
圖3.1 Qassimy游戲網站上的釣魚信息
(2)在Gem-Flash網站進行發布虛假游戲信息,誘導用戶進行惡意載荷的下載。攻擊者(“wafa3”)應該和Qassimy上發布的為同一個,此次釣魚信息里還帶有指向YouTube的一個引鏈。
圖3.2 Gem-Flash網站上的釣魚信息
(3)世界杯期間,在ADSGASTE數字門戶網站進行發布虛假的世界杯播放應用信息,誘導用戶轉向釣魚網站進行惡意載荷的下載。
圖3.3 ADSGASTE數字門戶網站上的釣魚信息
(4)在YouTube平臺上,目前已發現到有兩個釣魚攻擊者;其中名叫“Nothing”的攻擊者,發布了四次釣魚信息,按觀看數進行評估,約有萬名YouTube用戶收到釣魚信息。另外,值得注意的是該攻擊者在YouTube上發布的其中一個釣魚信息地址被上面Gem-Flash網站的名為“wafa3”的攻擊者使用在其釣魚信息中當做引鏈,類似的還可以經常看到該組織下不同釣魚攻擊者之間的相互配合。
圖3.4 兩個攻擊者在YouTube平臺上發布的釣魚信息
(5)Telegram上偽裝成2018世界杯直播的群頻道。
圖3.5 Telegram上使用的偽裝世界杯直播頻道
注:此處友情提醒廣大安全友軍,載荷投遞的鏈接有防盜保護,所以流程有沒有抓取到呢?
圖3.6 Telegram上使用的偽裝世界杯直播頻道
(6)在Twitter平臺上,已發現到該組織的四個攻擊者發布了未定向的多條不同內容的釣魚信息進行廣泛傳播。
圖3.7 四個攻擊者在Twitter平臺上發起的未定向釣魚攻擊片段
(7)此外還有一個釣魚網站,目前看其主頁面荒廢了有一陣子,故在此略過。
在Twitter社交平臺上,諾崇獅組織除了使用水坑攻擊進行廣泛傳播外,還使用了數十次的定向魚叉攻擊。我們抽看了其中一些被該組織攻擊的目標賬號,有不少賬號顯示已被凍結或者在之后的很長時間里沒有再更新過,成了永久的“沉默賬號”。
圖3.8 已發現到的Twitter平臺上該組織最早攻擊者發起的定向攻擊片段
諾崇獅組織為避免攻擊時被用戶察覺到,對攻擊樣本采用了圖標偽裝和功能偽裝兩種形式。通過圖標偽裝攻擊樣本把圖標換成正常應用的圖標;通過功能偽裝攻擊樣本除了帶有在后臺進行間諜活動的功能,還帶有正常應用的功能支持在前端界面展現,讓用戶難于察覺。
攻擊樣本偽裝了幾類軟件的不同應用:游戲類應用(“Clash of Clans”和“Ludo”)、直播類應用(“Bigo live”和“worId cup”注:紅色的是大寫的i字母,非字母L) 和一些工具類應用。
圖4.1 惡意攻擊樣本采用的偽裝圖標
此次攻擊樣本進行帶正常應用功能的偽裝采用了兩種偽裝方式:一種是通過插包的方式,直接和正常應用整合在一起,整個過程只有一個應用;另一種是運行后,會釋放出正常的應用包,誘導用戶安裝正常應用進行正常使用,而自身再進行隱藏圖標,在后臺進行間諜活動,整個過程實際有兩個應用。
至今,諾崇獅組織在其歷史攻擊活動里已使用了四種移動端的RAT,包括開源的RAT(AndroRat)和三種商業RAT(SandroRat、SpyNote及MobiHok)。這些RAT都是很成熟的間諜木馬,用戶手機一旦安裝即刻能被攻擊者完全控制。
Androrat是一款開源在GitHub上的遠程管理工具,包含有基本的遠控功能,且可以根據自身能力擴展更豐富的監控功能,支持攻擊者在PC上對受害用戶手機進行遠程操控。
圖5.1 Androrat被控端代碼結構(左)和控制端管理界面(右)
Droidjack是一種非常流行的商業RAT,目前官方售價$210。其功能強大,支持在PC上對手機進行遠程操控,使用很方便。
圖5.2 Droidjack被控端代碼結構(左)和控制端管理界面(右)
SpyNote類似Droidjack,也是一款流行的商業RAT。其支持的功能更豐富些,售價相對更貴,根據不同場景需求目前官方有兩種價位($499和$4000)。
圖5.3 SpyNote被控端代碼結構(左)和控制端管理界面(右)
MobiHok價格不菲,有4種價位($700、$6500、$11000和$20000),曾是阿·拉伯地區流行的商業RAT,目前已被漢化引入,詳情請參閱我們此前發布過的歷史報告《阿拉·伯木馬成功漢化,多款APP慘遭模仿用于攻擊》。
圖5.4 MobiHok被控端代碼結構(左)和控制端管理界面(右)
從整個攻擊中,我們總結了諾崇獅組織以下特點:
(1) 針對的目標包含:懂阿·拉伯語的人、什葉派人等
(2) 攻擊活動時間活躍在:2015年4月22日(也門干預行動的“OperationRestoring Hope”當天)至2018年9月21日。
(3) 攻擊隊伍較大,有大量的Twitter賬號。
(4) 根據兩個攻擊者間的交流目的是為了改變評論者,而攻擊后的結果是被攻擊者變成了“沉默賬號”。
圖6.1 Twitter平臺上的兩名攻擊者間的一次交流
(5) 其中一個攻擊者第一條消息向賬號“qahtan_tribe”發了個問候語,“qahtan_tribe”賬號不久前還在使用卡塔尼的頭像,結合該賬號的信息及權力,看起來其甚至有著和Twitter一樣地位的“權限”。
圖6.2 Twitter平臺上的一名攻擊者的首條消息的問候
七、 總結
此次諾崇獅組織的攻擊主要發生在公開的社交媒體平臺。近幾年,公開的社交媒體平臺成為了某幾個國家電子軍的另一個戰場,我們也看到多個社交媒體平臺也都在致力應對,當然我們也知道這種威脅不是在短期能夠解決避免的,這需要多方配合一起努力才能有效遏制。
如果你是公開的社交媒體平臺的一名用戶,請務必保持安全防范意識,安裝上必要的官方來源安全防護軟件,做好個人敏感隱私數據不在公開的社交媒體平臺上或者甚至不公開,不輕易點擊或者接收其他人發來的圖片、視頻及鏈接等!
而作為安全廠商,在這個萬物互聯的時代,如何根據不同的客戶場景定制出對應的有效安全防護產品和策略,做到能及時查殺攔截及發現,做好保障住國家安全、用戶生命財產安全及數據安全,是我們當下最首要需要攻克的命題,望一起堅定信念,不停探索,共同奮斗。
附錄:參考信息
《紐·約時報》:Saudis’ Image Makers: A Troll Army and a TwitterInsider
《紐·約時報》:Former Twitter Employees Charged With Spying forSaudi Arabia
《紐·約時報》:Someone Tried to Hack My Phone. TechnologyResearchers Accused Saudi Arabia.
《華盛·頓郵報》:Former Twitter employees charged with spying forSaudi Arabia by digging into the accounts of kingdom critics
公民實驗室(CitizenLab):Stoppingthe Press
NewYork Times Journalist Targeted by Saudi-linked Pegasus Spyware Operator
《Vice》:How ‘Mr. Hashtag’ Helped Saudi Arabia Spy onDissidents
《貝靈貓》:Lord Of The Flies: An Open-Source InvestigationInto Saud Al-Qahtani
Twitter通告:New disclosures to our archive of state-backedinformation operations
雷鋒網雷鋒網
雷峰網版權文章,未經授權禁止轉載。詳情見轉載須知。
