【安全资讯】Confucius(魔罗桫)组织使用Android间谍软件监视印巴军事相关人员

安恒情报中心 2021-02-20 04:59:28 1329人浏览

近日,研究人员发现了两种新颖的Android间谍软件,分别是HornbillSunBird,并以高度可信地将这些间谍软件归因于Confucius(魔罗桫APT威胁组织。Confucius于2013年首次出现,是由印度资助的高级威胁组织,主要针对巴基斯坦和其他南亚目标进行攻击活动。


Confucius最初以Windows平台恶意软件而闻名,自2017年才开始使用Android间谍软件ChatSpy进行恶意监视活动。然而,在对Hornbill和SunBird进行详细分析后,魔罗桫或在使用ChatSpy前就开始了其长达一年的监视活动。


本次针对的目标包括与巴基斯坦军事,核设施以及克什米尔印度选举官员有关的人员。Hornbill和SunBird具有复杂的功能,可以获取SMS,加密的消息应用程序内容和地理位置,以及其他类型的敏感信息。


SunBird被伪装成以下应用程序,这表明针对的群体似乎是穆斯林个人。:


-    安全服务,例如虚构的“ Google安全框架”
-    与特定位置(“克什米尔新闻”)或活动(“ Falconry Connect”和“ Mania Soccer”)相关的应用
-    伊斯兰教相关的申请(“古兰经》)。 


SunBird会收集以下类型的数据,并将其发送给攻击者。
-    已安装的应用程序列表
-    浏览器历史
-    日历信息
-    BlackBerry Messenger(BBM)音频文件,文档和图像
-    WhatsApp音频文件,文档,数据库,语音注释和图像
-    通过IMO即时消息收发应用程序发送和接收的内容


研究人员分析了从六个或更多公开的C2服务器中获得了18 GB以上的泄露数据。泄露的数据显示,攻击者的目标包括巴基斯坦原子能委员会的潜在候选人,与巴基斯坦空军(PAF)有密切联系的个人以及监督克什米尔Pulwama区选举进程的选举官员。

失陷指标(IOC)49
APT Hornbill APT_Confucius SunBird 远程控制RAT 巴基斯坦 其他 政府部门 国防
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。