【安全资讯】针对巴以地区长达三年的攻击活动揭露

引言

研究人员发现了一起针对巴以地区（巴勒斯坦和以色列）的攻击活动，该攻击活动自2018年开始，并持续至今。攻击者在活动中使用了多种商业间谍软件，包括SpyNote、Mobihok、WH-RAT、888RAT，同时也基于开源代码构建了独有的间谍软件EsecretRAT。

简况

攻击者通过将合法的应用打包进间谍软件进行伪装，伪装对象为各种社交应用、阿克萨电台、阿克萨清真寺、耶路撒冷指南、PDF查看器等应用。伪装对象图标如下图：

Threema是一款付费的开源端到端加密即时通讯应用程序，攻击者会将间谍软件伪装成Threema应用进行攻击活动。通过伪装对象的CC信息，研究人员发现了疑似攻击者使用的钓鱼链接，该钓鱼链接伪装成Facebook网站。在部分受害者手机中，样本出现在WhatsApp文档路径中，进一步说明攻击者使用社交工具进行载荷投递。

在关联溯源中，研究人员发现一个名为“Mohammed Dahlan 指挥官和埃及情报会议 (MoM) 泄漏.pdf”的文档，该文档内容模糊不清，并包含一个阿拉伯语段落，旨在引诱受害者点击Google Drive链接下载Adobe Reader更新。

攻击者使用了多个商业间谍软件进行攻击活动，包括SpyNote、Mobihok、WH-RAT、888RAT。除此之外还用了开源渗透测试框架Metasploit。

间谍软件

SpyNote 是一款功能强大的商业间谍软件，具有强大的的功能，以及管理平台。其主要功能包括：文件管理、短信管理、通话记录管理、联系人管理、位置管理、账号管理、键盘记录、手机设置、拨打电话、拍照、录音、录像、实时录音、实时录像、获取应用列表执行 shell 命令以及聊天功能。

Mobihok是一款基于SpyNote源码修改的商业间谍软件，除了具备SpyNote强大的功能外，还进行了一些免杀处理。

WH-RAT是一款包含Android和Windows的远控工具，Android平台远控工具基于SpyNote源码二次开发，Windows平台远控基于NjRAT源码二次开发，其Android远控主要功能与SpyNote基本一致。

888RAT是一款支持Windows、Android和Linux平台的商业远控工具，其Android 远控主要有以下功能：文件管理、拍照、录音、录像、GPS位置跟踪、获取联系人、获取短信、获取通话记录、获取已安装应用、电量监控、执行shell命令、获取设备信息、弹出通知消息、播放音频、Facebook钓鱼、账号管理、非ROOT权限截图。

Metasploit是一个开源的渗透测试框架，它本身附带数百个已知软件漏洞的专业级漏洞攻击工具，通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。Metasploit Android payload 则是Metasploit框架针对Android 系统的一个有效负载，可以针对Android设备的渗透工具。

EsecretRAT是基于开源的ChatAppTutorial开发的间谍软件，攻击者在ChatAppTutorial原有的代码的基础上添加了部分恶意代码，实现了间谍软件功能。EsecretRAT主要恶意功能为：获取联系人、获取短信、获取设备IMEI、获取位置信息、获取IP、获取DCIM目录中所有的照片。

总结

由于宗教信仰、地缘政治、历史原因等因素，巴以地区冲突不断，各方都在试图通过网络情报和网络攻击活动占领先机。