【安全资讯】APT-C-27(黄金鼠组织)的主要攻击武器分析

引言

研究人员捕获到了APT-C-27黄金鼠组织大量内部利用工具和攻击样本，并通过对这些工具、样本的分析，发现了黄金鼠针对中东地区的最新行动。APT-C-27黄金鼠组织是熟悉阿拉伯语的APT攻击组织，从2014年11月起，对叙利亚、土耳其地区展开了有组织的不间断攻击。黄金鼠组织PC端涉及样本数量多，种类复杂，既包括该组织的攻击样本，也有大量其内部编写的工具。且由于Android系统、APP的普及与发展，带动了Android手机等智能终端用户量的持续攀升，从而导致黄金鼠组织的攻击目标也逐渐转向Android移动端。PC端和Android端的恶意样本主要伪装成聊天软件，通过水坑攻击配合社会工程学进行攻击。

简况

黄金鼠组织PC端涉及样本数量多，种类复杂，既包括该组织的攻击样本，也有大量其内部编写的工具。研究人员发现了以下PC端攻击武器：

1.内部解密工具：工具主要功能为加密解密enc17后缀命名的文件，我们推测黄金鼠组织可能对某些文档进行了加密处理，并且以enc17后缀作为存储。

2.文档枚举工具：枚举C到M盘符下的所有以txt、doc、docx、ppt、pptx、xls、xlsx、pdf后缀的文档文件，依次存储文件路径以及文件名称。

3.导出数据到xls工具：将需要的信息导出到xls，为工作提供便利。

4.TxtToVcf工具：将txt文件内部存储的联系人信息转换为vcf文件。

5.联系人文本转换工具：将存有指定格式联系人的纯文本文件转化为联系人方式。

6.电话号码识别工具：利用公开API提供的接口查询电话号码的拨号人信息。

7.功能测试工具：疑似用于内部自查的安全工具，也可能是测试功能用的样本，功能可以查找注册表项SOFTWARE\\Microsoft\\Windows\\CurrentVersion下的所有启动项。

8.Skype数据库操作工具：操作Skype数据库，利用这些工具与信息发动社会工程学攻击。

9.njRAT控制端：njRAT的控制端，这个类型的远控是中东地区常用的RAT。

10.njRAT被控端：可执行文件的被控端被伪装成美女图片，诱使目标点击让木马运行，增加攻击目标成功率。

黄金鼠组织从被发现起就一直利用PC端和Android端同时攻击，由于Android系统、APP的普及与发展，带动了Android手机等智能终端用户量的持续攀升，从而导致黑客组织的攻击目标也逐渐转向移动端。研究人员捕获了新的RAT样本，通过对比此次样本和之前攻击的样本，可以发现移动端的样本在保持主体不变的情况下，一直处于更新状态，很多主要特征也没有改变。新旧版本的控制码对比如下：

总结

APT攻击大多数针对个人电脑、办公机器，因为在当今社会，电脑PC还是人们主要的办公设备， APT攻防人员都在上面投入大量精力，攻击方式多样化，攻击手段迭代也越来越快。与此同时，智能手机已经成为人们日常使用工具，手机中包含有大量个人资料、机密信息，这些都使得对移动端进行攻击有利可图，因此也将有更多的移动端攻击伴随着对有价值APT目标的攻击发生。