安恒威胁分析平台

双尾蝎

2016年5月起至今，双尾蝎组织对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台主要包括Windows与Android，攻击范围主要为中东地区。使用的后门程序主要伪装成文档、播放器、聊天软件以及一些特定领域常用软件，通过鱼叉或水坑等攻击方式配合社会工程学手段进行渗透，向特定目标人群进行攻击。

历史活动组织概况 IOC情报

2022-07-07
疑似AridViper组织伪装Threema通讯软件攻击分析安恒威胁情报中心

APT-C-23（双尾蝎）又被称为AridViper 、Micropsia、FrozenCell、Desert Falcon，攻击范围主要为中东地区相关国家的教育机构、军事机构等重要领域。研究人员关联到了双尾蝎与之前攻击不太相同的活动，此次攻击行动直接把商业RAT伪装成Threema诱使用户点击打开，Threema是瑞士开发的一款付费的开源端到端加密即时通讯应用程序。
2022-04-07
Operation Bearded Barbie：APT-C-23组织针对以色列官员的攻击活动猎影实验室

APT-C-23是一个讲阿拉伯语且具有政治动机的APT组织，与哈马斯（伊斯兰抵抗运动）有关，攻击活动主要针对中东讲阿拉伯语的个人。研究人员最近发现了一项针对以色列个人的新的精心策划的活动，目标为在国防、执法、紧急服务和其他政府相关组织工作的知名官员。该攻击涉及一个虚假消息应用程序（称为VolatileVenom）、一个下载程序（称为Barbie Downloader）和一个后门程序（BarbWire Backdoor），目的疑似是为了进行间谍活动。活动初始感染链如下图：
2021-12-23
PyMICROPSIA：双尾蝎的新型窃密木马再度来袭猎影实验室

双尾蝎（APT-C-23）是一个长期针对中东地区的高级持续威胁组织，最早于2017年被披露。研究人员捕获了该组织以Python构建的攻击样本，该类样本最早由国外厂商发现并命名为PyMICROPSIA。简况PyMICROPSIA具有丰富的信息窃取和控制功能，功能包括：收集本机/外置驱动文件列表、进程信息压缩被盗信息及被盗文件/文件夹，并上传至C2截屏、录音、执行shell命令、重启、自更新payload下载与执行删除压缩文件、历史浏览记录以及配置文件双尾蝎一直以来喜欢用演员或者编剧的名字来给变量进行命名，PyMICROPSIA也不例外，其对C2以及一些变量的命名，依旧延续了其使用人名的传统。而在流程方面，本次捕获的PyMICROPSIA首先连接google.com对网络联通性进行判断，只有在返回200的状态码后才会进行后续操作，否则一直循环连接，这样做可以对一些沙箱进行规避操作，进而导致沙箱误判。
2021-11-29
APT-C-23组织以巴勒斯坦选举热点信息为诱饵的攻击活动分析猎影实验室

双尾蝎组织（APT-C-23）是一个长期针对中东地区的高级威胁组织，最早于2017年被披露。至少自2016年5月起，持续针对巴勒斯坦教育机构、军事机构等重要领域进行网络间谍活动，窃取敏感信息。近日，研究人员发现了以巴勒斯坦地区选举话题为诱饵的攻击样本。简况本次捕获的样本为RAR压缩的文件，其文件名翻译后为“大学的报告.docx.xz”。解压后里面包含一个伪装为Word图标的EXE文件，且具有较长的文件名，旨在不显示文件后缀。样本执行后将从资源获取诱饵文档释放展示，诱饵文档内容主要是关于针对巴勒斯坦选举活动举行的地点商议，其中涉及到各方势力及强宗教信息。属于中东地区双尾蝎、Molerats等组织在攻击活动中的常用话题。
2021-11-25
APT-C-23组织使用间谍软件攻击中东Android用户猎影实验室

2021年9月，研究人员发现APT-C-23组织使用Android间谍软件针对中东地区用户的攻击活动。近日，该组织再次改进了其 Android 间谍软件，增强了功能，使其更隐蔽、更持久。简况移动间谍软件名为VAMP，（又名FrozenCell、GnatSpy和Desert Scorpion），至少自 2017 年以来一直是 APT-C-23 组织的首选工具。新变种以应用程序的形式出现，声称可以在目标手机上安装更新。这些应用程序都没有托管在 Google Play 商店中，因此研究人员怀疑这些应用程序是通过 SMS 短信发送给特定用户的。间谍软件应用程序最初的图标如下图：
2021-09-16
APT-C-23组织使用Android间谍软件针对中东地区用户猎影实验室

近日，研究人员发现 APT-C-23 （又名“双尾蝎”）组织使用 Android 恶意软件变种针对中东地区的用户，其分发机制是通过网络钓鱼或通过伪造的 Android 应用进行分发，此应用有一个与 Telegram 应用程序类似的图标，该恶意软件可以从受感染设备窃取敏感信息，例如联系人数据、短信数据和文件。简况 APT-C-23 组织使用的恶意软件变体自称为Google_Play_Installer7080009821206716096，该应用欺骗用户，让其觉得该应用是与 Google Play 相关的 APK。
2021-09-07
疑似APT-C-23组织近期针对巴勒斯坦地区的攻击活动分析猎影实验室

近日，研究人员捕获了APT-C-23的多起攻击样本，捕获的样本包括伪装成政治热点、教育相关的可执行文件诱饵，以及伪装成微软图像处理设备控制面板程序(ImagingDevices.exe)，此类样本运行后，将会释放展示正常的诱饵以迷惑受害者，同时后门将继续在后台运行以窃取受害者计算机敏感信息。简况APT-C-23是一个长期针对中东地区的高级威胁组织，最早于2017年被披露。至少自2016年5月起，持续针对巴勒斯坦教育机构、军事机构等重要领域进行网络间谍活动，以窃取敏感信息为主的网络攻击组织，开展了有组织，有计划，有针对性的攻击。
2021-04-07
APT-C-23使用语音转换软件伪装成女性诱骗目标安装恶意软件猎影实验室

近日，cado安全公司发现APT-C-23组织针对中东地区的最新间谍活动，旨在对目标进行监视。该组织通过语音转换软件伪装成女性，随后生成音频消息与目标对话，目的是发送带有恶意软件的视频以感染目标系统。APT-C-23组织的成员均为男性，该组织之前就通过冒充女性来诱骗目标安装恶意的应用程序，一旦下载了应用程序，它就能使攻击者完全控制手机：包括将文件传输到C2服务器，允许访问手机的数据、SMS消息、联系人、麦克风和相机等功能。研究人员在2020年审查该组织提供恶意软件的服务器时，由于配置错误，导致研究人员可访问该组织的攻击工具集，该工具集包含以下文件：
2021-03-25
研究人员发现APT-C-23组织针对巴勒斯坦的攻击活动猎影实验室

近日，研究人员捕获到多起APT-C-23（双尾蝎）组织利用选举话题针对巴勒斯坦国的攻击活动，当地时间1月15日，巴勒斯坦总统阿巴斯宣布了该国举行全面大选的日期。巴勒斯坦立法委员会选举、总统选举和巴勒斯坦全国委员会选举将分别于5月22日、7月31日和8月31日举行。在巴勒斯坦选举活动下，双尾蝎组织利用相关政治内容制作诱饵文档，针对特定目标受害者进行鱼叉式钓鱼攻击。攻击活动以“总统和领导层在选举中的立场以及有关法令的建议”和“开幕式和选举权”等选举相关时事热点为话题，对目标受害者进行鱼叉式钓鱼攻击。诱饵内容截图
2020-12-16
研究人员发现了新型信息窃取木马PyMICROPSIA 猎影实验室

Unit 42的研究人员一直在追踪威胁组织AridViper，该组织一直针对中东地区。经分析，研究人员发现该组织使用一种与MICROPSIA恶意软件家族有关的新型信息窃取木马，并将其命名为PyMICROPSIA，因为它是基于Python构建的。攻击者在基础设施中托管两个其他示例，这些示例在PyMICROPSIA部署期间下载并使用。其他示例提供了持久性和按键记录功能。 PyMICROPSIA 概述PyMICROPSIA具有丰富的信息窃取和控制功能，包括：- 文件上传。- 有效负载下载和执行。- 浏览器凭证窃取。清除浏览历史记录和配置文件。
查看更多