【安全资讯】APT-C-27(黄金鼠组织)的主要攻击武器分析
引言
研究人员捕获到了APT-C-27黄金鼠组织大量内部利用工具和攻击样本,并通过对这些工具、样本的分析,发现了黄金鼠针对中东地区的最新行动。APT-C-27黄金鼠组织是熟悉阿拉伯语的APT攻击组织,从2014年11月起,对叙利亚、土耳其地区展开了有组织的不间断攻击。黄金鼠组织PC端涉及样本数量多,种类复杂,既包括该组织的攻击样本,也有大量其内部编写的工具。且由于Android系统、APP的普及与发展,带动了Android手机等智能终端用户量的持续攀升,从而导致黄金鼠组织的攻击目标也逐渐转向Android移动端。PC端和Android端的恶意样本主要伪装成聊天软件,通过水坑攻击配合社会工程学进行攻击。
简况
黄金鼠组织PC端涉及样本数量多,种类复杂,既包括该组织的攻击样本,也有大量其内部编写的工具。研究人员发现了以下PC端攻击武器:
1.内部解密工具:工具主要功能为加密解密enc17后缀命名的文件,我们推测黄金鼠组织可能对某些文档进行了加密处理,并且以enc17后缀作为存储。
2.文档枚举工具:枚举C到M盘符下的所有以txt、doc、docx、ppt、pptx、xls、xlsx、pdf后缀的文档文件,依次存储文件路径以及文件名称。
3.导出数据到xls工具:将需要的信息导出到xls,为工作提供便利。
4.TxtToVcf工具:将txt文件内部存储的联系人信息转换为vcf文件。
5.联系人文本转换工具:将存有指定格式联系人的纯文本文件转化为联系人方式。
6.电话号码识别工具:利用公开API提供的接口查询电话号码的拨号人信息。
7.功能测试工具:疑似用于内部自查的安全工具,也可能是测试功能用的样本,功能可以查找注册表项SOFTWARE\\Microsoft\\Windows\\CurrentVersion下的所有启动项。
8.Skype数据库操作工具:操作Skype数据库,利用这些工具与信息发动社会工程学攻击。
9.njRAT控制端:njRAT的控制端,这个类型的远控是中东地区常用的RAT。
10.njRAT被控端:可执行文件的被控端被伪装成美女图片,诱使目标点击让木马运行,增加攻击目标成功率。
黄金鼠组织从被发现起就一直利用PC端和Android端同时攻击,由于Android系统、APP的普及与发展,带动了Android手机等智能终端用户量的持续攀升,从而导致黑客组织的攻击目标也逐渐转向移动端。研究人员捕获了新的RAT样本,通过对比此次样本和之前攻击的样本,可以发现移动端的样本在保持主体不变的情况下,一直处于更新状态,很多主要特征也没有改变。新旧版本的控制码对比如下:
总结
APT攻击大多数针对个人电脑、办公机器,因为在当今社会,电脑PC还是人们主要的办公设备, APT攻防人员都在上面投入大量精力,攻击方式多样化,攻击手段迭代也越来越快。与此同时,智能手机已经成为人们日常使用工具,手机中包含有大量个人资料、机密信息,这些都使得对移动端进行攻击有利可图,因此也将有更多的移动端攻击伴随着对有价值APT目标的攻击发生。