【安全资讯】疑似双尾蝎APT组织以CIA资助哈马斯相关信息为诱饵的攻击活动分析

双尾蝎APT团伙是一个长期针对中东地区的高级威胁组织，其最早于2017年被披露。其至少自2016年5月起，便持续针对巴勒斯坦教育机构、军事机构等重要领域开展了有组织，有计划，有针对性的攻击，该组织拥有针对Windows和Android双平台攻击能力。 

近日，安全团队的研究人员在日常威胁狩猎中捕获多个伪装成视频、文档和图片的可执行文件，此类样本将图标设置为对应的诱饵类型，诱导受害者点击执行。当样本执行后，将释放展示相关诱饵迷惑受害者。释放展示的诱饵包括CIA对哈马斯支持的相关政治类诱饵、巴勒斯坦地区美女视频图片、简历相关文档等。经过溯源关联后发现，此次捕获样本疑似均来自APT组织：双尾蝎。 

此次捕获的样本具有Pascal,VC两个版本，并伪装成视频，图片，文档等几种诱饵类型，伪装成文档类的样本如下：

CIA资助哈马斯相关信息

  简历信息 

除文档类诱饵以外，捕获的样本还会释放展示视频，图片等影音类诱饵。影音类诱饵主要以中东地区美女视频，照片为主，部分诱饵内容如下：

该恶意软件功能与双尾蝎组织常用手法一致，利用人名作为指令。相关指令功能如下：

Pascal后门会获取计算机用户名，杀软，系统版本等信息，并将获取的信息上传到hxxp://judystevenson[.]info/vcapicv/vchivmqecv/vbqsrot，与C2通信后获取指令执行，功能号使用MD5表示，指令功能如下：

.

总结：

双尾蝎组织是常年活跃在中东地区APT团伙，其具有Windows和Android双平台攻击武器，且仅Windows平台恶意代码就丰富多变，具有多种语言编译的后门。