【安全资讯】月光鼠组织（Molerats ）新近移动端攻击活动跟踪披露

2020年12月，移动安全团队捕获到Android平台上一款新型的的恶意RAT，分析显示该RAT最早出现于2017年，被持续使用至今，目前共有3个版本。经过溯源和关联后发现，该RAT属于Molerats APT组织特有的移动端武器，并命名为GazaHT家族。中文命名为月光鼠组织。

月光鼠组织来自中东某地区，攻击目标主要针对以色列人和巴勒斯坦人。该组织在2012年10月针对以色列政府目标发起恶意软件攻击，导致色列警察部门为保险起见断开了该部门所有计算机的网络访问权限而引起了媒体的关注。2013年国外安全厂商FireEye对将其披露并命名为Molerats ；此后该组织仍持续展开多个攻击活动，并被多家国内外安全厂商进行披露及命名,故拥有多个别名(别名：Gaza Hackers Team、Gaza cybergang、Gaza Cybergang、Operation Molerats、Extreme Jackal、Moonlight、ALUMINUM SARATOGA)。

二、载荷投递 

通过对移动端的攻击样本分析可发现，月光鼠组织在移动端的攻击载荷采用伪装成谷歌应用商店相关应用和聊天应用的投递方式。安全团队通过追踪分析后发现：月光鼠组织其中伪装成的聊天应用攻击载荷主要存放在钓鱼网站（ephoneservices.club），尽管该钓鱼网址标题说明“高质量，安全且可在Google Play上使用”，但一旦点击按钮便会直接下载恶意的攻击载荷。该网站的攻击载荷属于第二代RAT，另该网站在2020年7月被安全厂商ESET发布披露后不久失效。

三、攻击样本分析

月光鼠组织拥有自己特有的移动端GazaHT攻击样本家族，按照功能迭代已发展到现今的第三代，最新第三代已增加利用辅助功能对目前流行的社交应用进行窃取信息功能。GazaHT家族功能完善，可以获取通话记录，短信信息，照片，通讯录，地理位置信息，通话录音等。攻击者可以根据自身能力扩展更丰富的监控功能，且可以通过下发指令便捷的对受害用户手机进行远程操控。

远程控制指令和对应功能关系表：

四、攻击组织溯源分析

安全团队通过分析判断本次攻击活动归属为月光鼠组织（Molerats）。主要依据如下：

1. 1.    样本针对阿拉伯语用户,可以推测该攻击主要针对中东国家。

2. 2.    其中的一个C&C为pal4u.net，而pal4u.net 是该组织的一个常用资产。另其最新的C&C采用了巴勒斯坦Nepras For Media & IT域名商的域名systembackups.info，也间接印证符合该组织的地区身份。

3. 3.    最新的样本签名带有“Palestine”及“gaza”，也间接印证符合该组织的地区身份。

五、总结

自 2012 年以来月光鼠组织一直在中东地区活动，其主要使用网络钓鱼主题和诱骗文件的分析开展攻击。网络钓鱼可谓老生常谈，却仍是攻击者屡试不爽的惯用手法，显然还是最有效的战术之一。

应对这些攻击不仅需要安全厂商的各类安全产品的防护和到位的安全服务支持，更离不开企业对内部自身安全规程及企业内部员工安全防范意识的持续建设。针对普通用户如何避免遭受移动端上的攻击，安全团队提供以下防护建议：

1.    在正规的应用商店下载应用。国内的用户可以在手机自带的应用商店下载，国外用户可以在Google Play下载。不要安装不可信来源的应用、不要随便点击不明URL或者扫描安全性未知的二维码。
2.    移动设备及时在可信网络环境下进行安全更新，不要轻易使用不可信的网络环境。
3.    对请求应用安装权限、激活设备管理器等权限的应用要特别谨慎，一般来说普通应用不会请求这些权限，特别是设备管理器，正常的应用机会没有这个需求。
4.    确保安装有手机安全软件，进行实时保护个人财产安全；