APT-C-23是一个讲阿拉伯语且具有政治动机的APT组织,与哈马斯(伊斯兰抵抗运动)有关,攻击活动主要针对中东讲阿拉伯语的个人。 研究人员最近发现了一项针对以色列个人的新的精心策划的活动,目标为在国防、执法、紧急服务和其他政府相关组织工作的知名官员。该攻击涉及一个虚假消息应用程序(称为VolatileVenom)、一个下载程序(称为Barbie Downloader)和一个后门程序(BarbWire Backdoor),目的疑似是为了进行间谍活动。活动初始感染链如下图:
双尾蝎(APT-C-23)是一个长期针对中东地区的高级持续威胁组织,最早于2017年被披露。研究人员捕获了该组织以Python构建的攻击样本,该类样本最早由国外厂商发现并命名为PyMICROPSIA。 简况PyMICROPSIA具有丰富的信息窃取和控制功能,功能包括:收集本机/外置驱动文件列表、进程信息压缩被盗信息及被盗文件/文件夹,并上传至C2截屏、录音、执行shell命令、重启、自更新payload下载与执行删除压缩文件、历史浏览记录以及配置文件 双尾蝎一直以来喜欢用演员或者编剧的名字来给变量进行命名,PyMICROPSIA也不例外,其对C2以及一些变量的命名,依旧延续了其使用人名的传统。而在流程方面,本次捕获的PyMICROPSIA首先连接google.com对网络联通性进行判断,只有在返回200的状态码后才会进行后续操作,否则一直循环连接,这样做可以对一些沙箱进行规避操作,进而导致沙箱误判。
双尾蝎组织(APT-C-23)是一个长期针对中东地区的高级威胁组织,最早于2017年被披露。至少自2016年5月起,持续针对巴勒斯坦教育机构、军事机构等重要领域进行网络间谍活动,窃取敏感信息。近日,研究人员发现了以巴勒斯坦地区选举话题为诱饵的攻击样本。 简况本次捕获的样本为RAR压缩的文件,其文件名翻译后为“大学的报告.docx.xz”。解压后里面包含一个伪装为Word图标的EXE文件,且具有较长的文件名,旨在不显示文件后缀。 样本执行后将从资源获取诱饵文档释放展示,诱饵文档内容主要是关于针对巴勒斯坦选举活动举行的地点商议,其中涉及到各方势力及强宗教信息。属于中东地区双尾蝎、Molerats等组织在攻击活动中的常用话题。
2021年9月,研究人员发现APT-C-23组织使用Android间谍软件针对中东地区用户的攻击活动。近日,该组织再次改进了其 Android 间谍软件,增强了功能,使其更隐蔽、更持久。 简况移动间谍软件名为VAMP,(又名FrozenCell、GnatSpy和Desert Scorpion),至少自 2017 年以来一直是 APT-C-23 组织的首选工具。新变种以应用程序的形式出现,声称可以在目标手机上安装更新。这些应用程序都没有托管在 Google Play 商店中,因此研究人员怀疑这些应用程序是通过 SMS 短信发送给特定用户的。间谍软件应用程序最初的图标如下图:
近日,研究人员发现 APT-C-23 (又名“双尾蝎”)组织使用 Android 恶意软件变种针对中东地区的用户,其分发机制是通过网络钓鱼或通过伪造的 Android 应用进行分发,此应用有一个与 Telegram 应用程序类似的图标,该恶意软件可以从受感染设备窃取敏感信息,例如联系人数据、短信数据和文件。 简况 APT-C-23 组织使用的恶意软件变体自称为Google_Play_Installer7080009821206716096,该应用欺骗用户,让其觉得该应用是与 Google Play 相关的 APK。
近日,研究人员捕获了APT-C-23的多起攻击样本,捕获的样本包括伪装成政治热点、教育相关的可执行文件诱饵,以及伪装成微软图像处理设备控制面板程序(ImagingDevices.exe),此类样本运行后,将会释放展示正常的诱饵以迷惑受害者,同时后门将继续在后台运行以窃取受害者计算机敏感信息。简况APT-C-23是一个长期针对中东地区的高级威胁组织,最早于2017年被披露。至少自2016年5月起,持续针对巴勒斯坦教育机构、军事机构等重要领域进行网络间谍活动,以窃取敏感信息为主的网络攻击组织,开展了有组织,有计划,有针对性的攻击。
近日,cado安全公司发现APT-C-23组织针对中东地区的最新间谍活动,旨在对目标进行监视。该组织通过语音转换软件伪装成女性,随后生成音频消息与目标对话,目的是发送带有恶意软件的视频以感染目标系统。APT-C-23组织的成员均为男性,该组织之前就通过冒充女性来诱骗目标安装恶意的应用程序,一旦下载了应用程序,它就能使攻击者完全控制手机:包括将文件传输到C2服务器,允许访问手机的数据、SMS消息、联系人、麦克风和相机等功能。研究人员在2020年审查该组织提供恶意软件的服务器时,由于配置错误,导致研究人员可访问该组织的攻击工具集,该工具集包含以下文件:
近日,研究人员捕获到多起APT-C-23(双尾蝎)组织利用选举话题针对巴勒斯坦国的攻击活动,当地时间1月15日,巴勒斯坦总统阿巴斯宣布了该国举行全面大选的日期。巴勒斯坦立法委员会选举、总统选举和巴勒斯坦全国委员会选举将分别于5月22日、7月31日和8月31日举行。在巴勒斯坦选举活动下,双尾蝎组织利用相关政治内容制作诱饵文档,针对特定目标受害者进行鱼叉式钓鱼攻击。攻击活动以“总统和领导层在选举中的立场以及有关法令的建议”和“开幕式和选举权”等选举相关时事热点为话题,对目标受害者进行鱼叉式钓鱼攻击。 诱饵内容截图
Unit 42的研究人员一直在追踪威胁组织AridViper,该组织一直针对中东地区。经分析,研究人员发现该组织使用一种与MICROPSIA恶意软件家族有关的新型信息窃取木马,并将其命名为PyMICROPSIA,因为它是基于Python构建的。攻击者在基础设施中托管两个其他示例,这些示例在PyMICROPSIA部署期间下载并使用。其他示例提供了持久性和按键记录功能。 PyMICROPSIA 概述PyMICROPSIA具有丰富的信息窃取和控制功能,包括:- 文件上传。- 有效负载下载和执行。- 浏览器凭证窃取。清除浏览历史记录和配置文件。
双尾蝎APT团伙是一个长期针对中东地区的高级威胁组织,其最早于2017年被披露。其至少自2016年5月起,便持续针对巴勒斯坦教育机构、军事机构等重要领域开展了有组织,有计划,有针对性的攻击,该组织拥有针对Windows和Android双平台攻击能力。 近日,安全团队的研究人员在日常威胁狩猎中捕获多个伪装成视频、文档和图片的可执行文件,此类样本将图标设置为对应的诱饵类型,诱导受害者点击执行。当样本执行后,将释放展示相关诱饵迷惑受害者。释放展示的诱饵包括CIA对哈马斯支持的相关政治类诱饵、巴勒斯坦地区美女视频图片、简历相关文档等。经过溯源关联后发现,此次捕获样本疑似均来自APT组织:双尾蝎。
