安全星图平台

双尾蝎

2016年5月起至今，双尾蝎组织对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台主要包括Windows与Android，攻击范围主要为中东地区。使用的后门程序主要伪装成文档、播放器、聊天软件以及一些特定领域常用软件，通过鱼叉或水坑等攻击方式配合社会工程学手段进行渗透，向特定目标人群进行攻击。

历史活动组织概况 IOC情报

2023-04-06
APT-C-23组织使用自定义工具攻击巴勒斯坦目标安恒威胁情报中心

从2022年9月开始，APT-C-23针对巴勒斯坦领土内的组织发起了攻击，活动至少持续到2023年2月。在最近的攻击中，该组织使用了一系列自制的恶意软件工具，例如ViperRat、FrozenCell（又名 VolatileVenom）和Micropsia，以在 Windows、Android 和 iOS 平台上执行和隐藏其活动，进行广泛的凭据盗窃和被盗数据的泄露。
2023-03-31
APT-C-23组织最新攻击活动分析安恒威胁情报中心

2020年2月，以色列国防军发布推文称，他们成功防御了哈马斯利用社交媒体伪装成美女针对色列国防军的一系列网络攻击行动，并且以色列情报部门采取了相应的反制措施，入侵并摧毁了哈马斯的攻击系统。其中针对以色列国防军发起网络攻击的组织被认为是APT-C-23（双尾蝎）组织。近期，研究人员再次发现哈马斯最新的攻击行动，本次攻击行动中使用的样本与以色列国防军披露的样本属于同源家族，该攻击行动开始于2022年6月，至今仍然处于活跃状态。与以往不同的是，本次攻击行动中使用的攻击样本利用重打包技术将恶意应用作为子包打包进合法的应用。
2022-12-30
双尾蝎新型移动端恶意软件分析报告安恒威胁情报中心

双尾蝎是一个长期针对中东地区的高级持续威胁组织，其最早于2017年被披露。近日，研究人员捕获到了该组织的一款新型恶意样本，其在使用经典武器库的同时，集成了最新的开源Android RAT武器库，借助SMS和FCM服务，实现了复合型的更强的远程控制功能。
2022-07-07
疑似AridViper组织伪装Threema通讯软件攻击分析安恒威胁情报中心

APT-C-23（双尾蝎）又被称为AridViper 、Micropsia、FrozenCell、Desert Falcon，攻击范围主要为中东地区相关国家的教育机构、军事机构等重要领域。研究人员关联到了双尾蝎与之前攻击不太相同的活动，此次攻击行动直接把商业RAT伪装成Threema诱使用户点击打开，Threema是瑞士开发的一款付费的开源端到端加密即时通讯应用程序。
2022-04-07
Operation Bearded Barbie：APT-C-23组织针对以色列官员的攻击活动猎影实验室

APT-C-23是一个讲阿拉伯语且具有政治动机的APT组织，与哈马斯（伊斯兰抵抗运动）有关，攻击活动主要针对中东讲阿拉伯语的个人。研究人员最近发现了一项针对以色列个人的新的精心策划的活动，目标为在国防、执法、紧急服务和其他政府相关组织工作的知名官员。该攻击涉及一个虚假消息应用程序（称为VolatileVenom）、一个下载程序（称为Barbie Downloader）和一个后门程序（BarbWire Backdoor），目的疑似是为了进行间谍活动。活动初始感染链如下图：
2021-12-23
PyMICROPSIA：双尾蝎的新型窃密木马再度来袭猎影实验室

双尾蝎（APT-C-23）是一个长期针对中东地区的高级持续威胁组织，最早于2017年被披露。研究人员捕获了该组织以Python构建的攻击样本，该类样本最早由国外厂商发现并命名为PyMICROPSIA。简况PyMICROPSIA具有丰富的信息窃取和控制功能，功能包括：收集本机/外置驱动文件列表、进程信息压缩被盗信息及被盗文件/文件夹，并上传至C2截屏、录音、执行shell命令、重启、自更新payload下载与执行删除压缩文件、历史浏览记录以及配置文件双尾蝎一直以来喜欢用演员或者编剧的名字来给变量进行命名，PyMICROPSIA也不例外，其对C2以及一些变量的命名，依旧延续了其使用人名的传统。而在流程方面，本次捕获的PyMICROPSIA首先连接google.com对网络联通性进行判断，只有在返回200的状态码后才会进行后续操作，否则一直循环连接，这样做可以对一些沙箱进行规避操作，进而导致沙箱误判。
2021-11-29
APT-C-23组织以巴勒斯坦选举热点信息为诱饵的攻击活动分析猎影实验室

双尾蝎组织（APT-C-23）是一个长期针对中东地区的高级威胁组织，最早于2017年被披露。至少自2016年5月起，持续针对巴勒斯坦教育机构、军事机构等重要领域进行网络间谍活动，窃取敏感信息。近日，研究人员发现了以巴勒斯坦地区选举话题为诱饵的攻击样本。简况本次捕获的样本为RAR压缩的文件，其文件名翻译后为“大学的报告.docx.xz”。解压后里面包含一个伪装为Word图标的EXE文件，且具有较长的文件名，旨在不显示文件后缀。样本执行后将从资源获取诱饵文档释放展示，诱饵文档内容主要是关于针对巴勒斯坦选举活动举行的地点商议，其中涉及到各方势力及强宗教信息。属于中东地区双尾蝎、Molerats等组织在攻击活动中的常用话题。
2021-11-25
APT-C-23组织使用间谍软件攻击中东Android用户猎影实验室

2021年9月，研究人员发现APT-C-23组织使用Android间谍软件针对中东地区用户的攻击活动。近日，该组织再次改进了其 Android 间谍软件，增强了功能，使其更隐蔽、更持久。简况移动间谍软件名为VAMP，（又名FrozenCell、GnatSpy和Desert Scorpion），至少自 2017 年以来一直是 APT-C-23 组织的首选工具。新变种以应用程序的形式出现，声称可以在目标手机上安装更新。这些应用程序都没有托管在 Google Play 商店中，因此研究人员怀疑这些应用程序是通过 SMS 短信发送给特定用户的。间谍软件应用程序最初的图标如下图：
2021-09-16
APT-C-23组织使用Android间谍软件针对中东地区用户猎影实验室

近日，研究人员发现 APT-C-23 （又名“双尾蝎”）组织使用 Android 恶意软件变种针对中东地区的用户，其分发机制是通过网络钓鱼或通过伪造的 Android 应用进行分发，此应用有一个与 Telegram 应用程序类似的图标，该恶意软件可以从受感染设备窃取敏感信息，例如联系人数据、短信数据和文件。简况 APT-C-23 组织使用的恶意软件变体自称为Google_Play_Installer7080009821206716096，该应用欺骗用户，让其觉得该应用是与 Google Play 相关的 APK。
2021-09-07
疑似APT-C-23组织近期针对巴勒斯坦地区的攻击活动分析猎影实验室

近日，研究人员捕获了APT-C-23的多起攻击样本，捕获的样本包括伪装成政治热点、教育相关的可执行文件诱饵，以及伪装成微软图像处理设备控制面板程序(ImagingDevices.exe)，此类样本运行后，将会释放展示正常的诱饵以迷惑受害者，同时后门将继续在后台运行以窃取受害者计算机敏感信息。简况APT-C-23是一个长期针对中东地区的高级威胁组织，最早于2017年被披露。至少自2016年5月起，持续针对巴勒斯坦教育机构、军事机构等重要领域进行网络间谍活动，以窃取敏感信息为主的网络攻击组织，开展了有组织，有计划，有针对性的攻击。
查看更多