【安全资讯】研究人员发现APT-C-23组织针对巴勒斯坦的攻击活动

安恒情报中心 2021-03-25 09:41:13 773人浏览

近日,研究人员捕获到多起 APT-C-23 ( 双尾蝎 )组织利用选举话题针对巴勒斯坦国的攻击活动,当地时间1月15日,巴勒斯坦总统阿巴斯宣布了该国举行全面大选的日期。巴勒斯坦立法委员会选举、总统选举和巴勒斯坦全国委员会选举将分别于5月22日、7月31日和8月31日举行。在巴勒斯坦选举活动下,双尾蝎组织利用相关政治内容制作诱饵文档,针对特定目标受害者进行鱼叉式钓鱼攻击。 攻击活动以“总统和领导层在选举中的立场以及有关法令的建议”和“开幕式和选举权”等选举相关时事热点为话题,对目标受害者进行鱼叉式钓鱼攻击。


  诱饵内容截图 


APT-C-23 ( 双尾蝎 ) 组织自2016年5月起活跃至今,长期对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的持续性攻击,背后攻击者疑似具备中东背景。攻击活动涉及 Windows 与 Android 平台,投递的诱饵主要伪装成文档、播放器、聊天软件以及一些特定领域常用软件,通过鱼叉或水坑等攻击方式配合社会工程学手段进行渗透,向特定目标人群进行攻击。


本次攻击捕获到的 Windows 平台样本包含 VC 和 Delphi 开发的两种后门(Delephi 版本后门也称 Micropsia),其中 VC 版本后门已迭代更新到 8.0 版本,两种后门具备的功能和早期版本相比指令趋向于精简化。这让攻击更加隐蔽,攻击者会挑选特定感兴趣的目标然后下发后续攻击载荷。


Android 平台的活动则是保持双尾蝎惯用做法,通过伪造高度相似的 Telegram 网站,诱饵 Android 目标受害者进行下载。


 仿冒 Telegram的 网站  


Android后门的具体功能包括:拍照、音频录制、WI-FI 操作、读取通话记录、读取短信、读取联系人、文件操作(下载、上传)、窃取指定文件(主要是文档和图片类型)、应用操作(安装和卸载等)、隐藏自身图标和 SIM 卡操作等。

失陷指标(IOC)14
APT APT-C-23 钓鱼攻击 远程控制RAT 巴勒斯坦 其他
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。