【安全资讯】EGoManiac：围绕土耳其关系展开攻击的威胁组织

引言

EGoManiac是一个威胁组织，同时也是策划Octopus Brain活动的攻击者，该组织围绕着土耳其关系展开攻击活动。在深入调查了EGoManiac的攻击活动后，研究人员发现该组织在活动中用到了名为Rad的工具包。Rad工具包早在 2010 年就已开始开发，直至2015年一直被使用。此外，研究人员猜测EGoManiac在攻击活动中可能使用了hacking team公司的远程控制系统 (RCS)。

简况

EGoManiac 的活动围绕着土耳其关系展开，恶意软件诱饵是用土耳其语编写的，受害者是土耳其当地政治相关的人。Rad 组件的大多数 PDB 路径都有一个根文件夹'EGM'，研究人员从中派生出组织的名称 'EGoManiac'。Rad工具包是围绕POCO C++跨平台开发库构建的模块化间谍恶意软件工具包，早在 2010 年就已开始开发，直至2015年一直被使用。Rad 样本依赖于使用属于 Gmail、Yandex 或 Woxmail的硬编码的电子邮件渗漏。Rad 工具包的执行流程很简单。wsms.exe(RadStarter) 是注册表项运行的主要模块，它会将其他模块作为单独的进程运行。每个进程代表不同的功能，包括键盘记录器、麦克风记录器、浏览器信息提取器、屏幕捕获模块、文件搜索和用于渗漏的通信模块。Rad 工具包组件如下图：

2016年，土耳其国内展开一场内部斗争，有攻击者使用名为“HORTUM”的间谍软件从土耳其公共机构内的受感染机器中窃取数据并发送到johndown@woxmail.com地址，然后再由“Datalink” IT 公司重新分发。HORTUM 的功能及其通信方法与 EGoManiac组织的Rad工具的功能非常匹配。因此，研究人员怀疑EGoManiac可能与2016年土耳其内部的斗争有关。

在调查EGoManiac的Rad工具包时，研究人员发现，Rad 工具包依赖于硬编码的电子邮件地址进行通信，混淆的日志和其他泄露的材料被发送到多个服务提供商的电子邮件，其中就包括上文提到的，与“Datalink” IT 公司有关的johndown@woxmail.com邮件地址。这一发现进一步证实了EGoManiac与2016年土耳其内部的斗争的联系。

有趣的是，2012年，土耳其出现了间谍公司Hacking Team的远程控制系统的受害者，但这家窃听公司表示只向政府出售其工具。此后，Hacking Team的电子邮件泄露，其中包含“Datalink Analiz”公司的付款发票。因此，研究人员认为EGoManiac组织以“Datalink Analiz”公司为掩护，与 Hacking Team公司存在联系，很可能使用了Hacking Team公司的远程控制系统RCS。

总结

EGoManiac的活动非常复杂，围绕着土耳其关系展开，使用的Rad工具包是围绕POCO C++跨平台开发库构建的模块化间谍恶意软件工具包，且该组织很可能与 Hacking Team公司存在联系。