【安全资讯】疑似双尾蝎APT组织以CIA资助哈马斯相关信息为诱饵的攻击活动分析

匿名用户 2020-12-01 10:02:10 638人浏览

双尾蝎APT团伙是一个长期针对中东地区的高级威胁组织,其最早于2017年被披露。其至少自2016年5月起,便持续针对巴勒斯坦教育机构、军事机构等重要领域开展了有组织,有计划,有针对性的攻击,该组织拥有针对Windows和Android双平台攻击能力。 


近日,安全团队的研究人员在日常威胁狩猎中捕获多个伪装成视频、文档和图片的可执行文件,此类样本将图标设置为对应的诱饵类型,诱导受害者点击执行。当样本执行后,将释放展示相关诱饵迷惑受害者。释放展示的诱饵包括CIA对哈马斯支持的相关政治类诱饵、巴勒斯坦地区美女视频图片、简历相关文档等。经过溯源关联后发现,此次捕获样本疑似均来自APT组织:双尾蝎。 


此次捕获的样本具有Pascal,VC两个版本,并伪装成视频,图片,文档等几种诱饵类型,伪装成文档类的样本如下:


CIA资助哈马斯相关信息


  简历信息 


除文档类诱饵以外,捕获的样本还会释放展示视频,图片等影音类诱饵。影音类诱饵主要以中东地区美女视频,照片为主,部分诱饵内容如下:



该恶意软件功能与双尾蝎组织常用手法一致,利用人名作为指令。相关指令功能如下:



Pascal后门会获取计算机用户名,杀软,系统版本等信息,并将获取的信息上传到hxxp://judystevenson[.]info/vcapicv/vchivmqecv/vbqsrot,与C2通信后获取指令执行,功能号使用MD5表示,指令功能如下:

.


总结:

双尾蝎组织是常年活跃在中东地区APT团伙,其具有Windows和Android双平台攻击武器,且仅Windows平台恶意代码就丰富多变,具有多种语言编译的后门。

失陷指标(IOC)26
APT APT-C-23 远程控制RAT 账号窃密 双尾蝎 其他
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。