【安全资讯】疑似APT-C-23组织近期针对巴勒斯坦地区的攻击活动分析

引言

近日，研究人员捕获了APT-C-23的多起攻击样本，捕获的样本包括伪装成政治热点、教育相关的可执行文件诱饵，以及伪装成微软图像处理设备控制面板程序(ImagingDevices.exe)，此类样本运行后，将会释放展示正常的诱饵以迷惑受害者，同时后门将继续在后台运行以窃取受害者计算机敏感信息。

简况

APT-C-23是一个长期针对中东地区的高级威胁组织，最早于2017年被披露。至少自2016年5月起，持续针对巴勒斯坦教育机构、军事机构等重要领域进行网络间谍活动，以窃取敏感信息为主的网络攻击组织，开展了有组织，有计划，有针对性的攻击。

研究人员分析了两个样本，样本1为以美国对巴勒斯坦事业的政策相关信息为诱饵的可执行文件，样本成功执行后将从资源获取诱饵文档释放展示。样本1为Delphi 语言编写，且携带一个隐藏的窗体，从资源中释放诱饵文档。通过对比以往样本，可以看到APT-C-23组织对代码进行了精简，将某些功能函数封装在了点击组件中，将下载功能函数等网络相关的封装在了SendHttp函数中。样本1中的Timer1会引导其他控件执行任务，Time1执行后首先会从资源中获取诱饵文档数据保存到%tmp%目录下，然后将其打开以迷惑受害者。诱饵文档如下图：

样本2为伪装成微软图像处理设备控制面板程序(ImagingDevices.exe)。样本2从自身资源中释放诱饵文档到C:\ProgramData\AuditPolicyGPInterop\ MangeFile，然后将其移植到样本所在位置，命名为Folder并调用ShellExecuteA打开。在本次攻击活动中，APT-C-23组织尝试使用新的方式驻留在受害主机中，通过获取驱动器根目录下指定后缀文件，将其加入自身资源区段中，进而释放新的副本在驱动器根目录下。执行创建的副本，将展示原指定后缀文件内容，而样本将再次得以执行。若驱动器根目录下没有指定后缀的文件，则直接释放副本，并命名为Private-Image-,.exe。最后创建一个后门线程，通过不同的指令来实现其功能。

总结

双尾蝎组织是常年活跃在中东地区APT团伙，其具有Windows和Android双平台攻击武器，且仅Windows平台恶意代码就丰富多变，具有多种语言编译的后门。此次捕获的样本主要针对中东地区开展攻击活动，暂未发现影响国内用户。