ESET-forskere har undersøkt en målrettet mobilspionasjekampanje mot den kurdiske etniske gruppen, og som har vært aktiv siden minst mars 2020.
ESET-forskere har undersøkt en målrettet mobilspionasjekampanje mot den kurdiske etniske gruppen. Denne kampanjen har vært aktiv siden minst mars 2020, og distribuert (via dedikerte Facebook-profiler) to Android-bakdører kjent som 888 RAT og SpyNote, forkledd som legitime apper. Disse profilene så ut til å gi Android-nyheter på kurdisk, og nyheter for kurdernes tilhengere. Noen av profilene spredte bevisst ytterligere spioneringsapper til offentlige Facebook-grupper med pro-kurdisk innhold. Data fra et nedlastingsnettsted indikerer minst 1,481 nedlastinger fra URL-er som markedsføres i bare noen få Facebook-innlegg.
Den nylig oppdagede Android 888 RAT har blitt brukt av Kasablanka gruppe og av BladeHawk. Begge brukte alternative navn for å referere til den samme Android RAT – henholdsvis LodaRAT og Gaza007.
BladeHawk Android-spionasje
Spionasjeaktiviteten som er rapportert her er direkte knyttet til to offentlig avslørt saker publisert i 2020. QiAnXin Threat Intelligence Center kåret gruppen bak disse angrepene til BladeHawk, som vi har tatt i bruk. Begge kampanjene ble distribuert via Facebook, ved bruk av skadelig programvare som ble bygget med kommersielle, automatiserte verktøy (888 RAT og SpyNote), med alle prøver av skadelig programvare ved å bruke de samme C&C-serverne.
Distribusjon
Vi identifiserte seks Facebook-profiler som en del av denne BladeHawk-kampanjen, og delte disse Android-spioneringsappene. Vi rapporterte disse profilene til Facebook, og de er alle fjernet. To av profilene var rettet mot teknologibrukere, mens de fire andre stilte seg som kurdere. Alle disse profilene ble opprettet i 2020, og kort tid etter opprettelsen begynte de å legge ut disse falske appene. Disse kontoene, bortsett fra én, har ikke publisert noe annet innhold enn Android RAT-er som har utgitt seg som legitime apper.
Disse profilene er også ansvarlige for å dele spionasjeapper til offentlige Facebook-grupper, hvorav de fleste var tilhengere av Masoud Barzani, tidligere president i Kurdistan-regionen; et eksempel kan sees i figur 1. Til sammen har målgruppene over 11,000 XNUMX følgere.
Figur 1. Et av Facebook-innleggene
I ett tilfelle så vi et forsøk (Figur 2) på å fange Snapchat-legitimasjon via et phishing-nettsted (Figur 3).
Figur 2. Facebook-innlegg som fører til en Snapchat-nettfiskingside
Figur 3. Snapchat phishing-nettsted
Vi identifiserte 28 unike innlegg som en del av denne BladeHawk-kampanjen. Hvert av disse innleggene inneholdt falske appbeskrivelser og lenker for å laste ned en app, og vi var i stand til å laste ned 17 unike APK-er fra disse koblingene. Noen av APK-nettlenkene pekte direkte til den skadelige appen, mens andre pekte på tredjeparts opplastingstjeneste top4top.io, som sporer antall nedlastinger av filer (se figur 4). På grunn av det fikk vi det totale antallet nedlastinger fra top4top.io for de åtte appene. Disse åtte appene ble lastet ned til sammen 1,481 ganger, fra 20. juli 2020 til 28. juni 2021.
Figur 4. Informasjon om én RAT-prøve som er vert på en tredjepartstjeneste
Prøver
Så vidt vi vet, målrettet denne kampanjen kun Android-brukere, med trusselaktørene fokusert på to kommersielle Android RAT-verktøy – 888 RAT og SpyNote. Vi fant bare ett utvalg av sistnevnte under vår forskning. Som det ble bygget ved hjelp av en gammel, allerede analysert SpyNote-bygger, her inkluderer vi bare analysen av de 888 RAT-prøvene.
Android 888 RAT
Denne kommersielle, multiplattform RAT ble opprinnelig bare publisert for Windows-økosystemet for $80. I juni 2018 ble den utvidet i Pro-versjonen med den ekstra muligheten til å bygge Android RAT-er ($150). Senere kunne Extreme-versjonen også lage Linux-nyttelaster ($200).
Den ble solgt via utviklerens nettsted på 888-tools[.]com (se figur 5).
Figur 5. Pris for 888 RAT
I 2019 ble Pro-versjonen (Windows og Android) funnet sprukket (se figur 6) og tilgjengelig på noen få nettsteder gratis.
Figur 6. Sprukket versjon av 888 RAT-bygger
888 RAT har ikke blitt direkte identifisert med noen organiserte kampanjer tidligere; dette er første gang denne RAT har blitt tildelt som en indikator på en nettspionasjegruppe.
Etter denne oppdagelsen var vi i stand til å koble Android 888 RAT til to flere organiserte kampanjer: Spy TikTok Pro beskrevet her og en kampanje av Kasablanka Group.
Funksjonalitet
Android 888 RAT er i stand til å utføre 42 kommandoer mottatt fra C&C-serveren, som vist i tabell 1.
Kort sagt, den kan stjele og slette filer fra en enhet, ta skjermbilder, få enhetsplassering, phish Facebook-legitimasjon, få en liste over installerte apper, stjele brukerbilder, ta bilder, ta opp omkringliggende lyd- og telefonsamtaler, ringe, stjele SMS meldinger, stjele enhetens kontaktliste, sende tekstmeldinger osv.
Byggeren brukes også som C&C for å kontrollere alle kompromitterte enheter siden den bruker dynamisk DNS for å nå dem.
Tabell 1. Liste over støttede kommandoer
| Kommando | Funksjonalitet |
|---|---|
| Unistxcr | Vis appdetaljer for spesifisert app |
| dowsizetr | Last opp fil til server fra /sdcard/DCIM/.dat/ |
| DOWdeletx | Slett fil fra /sdcard/DCIM/.dat/ |
| Xr7aou | Last opp binærfil til server fra /sdcard/DCIM/.dat/ |
| Caspylistx | Liste filer fra /sdcard/DCIM/.dat/ |
| spxsjekk | Sjekk om samtaleopptakstjenesten kjører |
| S8p8y0 | Stopp samtaleopptakstjenesten |
| Sxpxy1 | Aktiver samtaleopptakstjeneste |
| screXmex | Ta skjermbilde og last opp til serveren |
| Batrxiops | Få batterinivået |
| L4oclOCMAWS | Få enhetens plassering |
| FdelSRRT | Slett fil /sdcard/DCIM/.fdat (fisket Facebook-legitimasjon) |
| chkstzeaw | Sjekk om Facebook-appen er installert |
| IODBSSUEEZ | Last opp Facebook-legitimasjon til C&C fra /sdcard/DCIM/.fdat |
| GUIFXB | Start Facebook phishing-aktivitet |
| osEEer | Få forespurte tillatelser for den angitte applikasjonen |
| LUNAPXER | Start spesifikk applikasjon |
| Gapxplister | Få liste over applikasjoner installert på enheten |
| DOTRall8xxe | Komprimer filer inn /sdcard/DCIM/.dat/ katalogen og last dem opp til C&C |
| Acouxacour | Få alle enhetskontoer |
| Fimxmiisx | Ta bilde fra kamera og last det opp til C&C |
| Scxreexcv4 | Få informasjon om enhetskameraer |
| micmokmi8x | Ta opp omkringliggende lyd for den angitte tiden |
| DTXXTEGE3 | Slett spesifikk fil fra / SD kort katalog |
| ODDSEe | Åpne spesifikk URL i standard nettleser |
| Yufsssp | Få Exif-informasjon fra spesifikk mediefil |
| getsssspo | Få informasjon om hvorvidt en bestemt fil finnes på enheten |
| DXCXIXM | Få navn på alle bildene som er lagret i /sdcard/DCIM/ |
| f5iledowqqww | Last opp spesifikk fil fra /SD kort/ katalog |
| GExCaalsss7 | Få anropslogger fra enheten |
| SDgex8se | Liste filer fra spesifikk katalog fra / SD kort |
| PHOCAs7 | Ring til spesifisert nummer |
| Gxextsxms | Få SMS-innboks |
| Msppossag | Send SMS-melding til spesifisert nummer |
| Getconstactx | Få kontakter |
| Rinxgosa | Spill av ringetone i seks sekunder |
| Shetermix | Utfør skallkommando |
| bitsssp64 | Utfør skallskript |
| Deldatall8 | Rydd, fjern alt /sdcard/DCIM/.dat filer |
| pvvvoze | Få IP-adresse |
| paltexw | Få TTL fra PING-kommandoen |
| M0xSSw9 | Vis spesifikk Toast-melding til brukeren |
En viktig faktor ved identifisering av 888 RAT er pakkenavnet til nyttelasten. Pakkenavnet til hver versjon av en Android-nyttelast er ikke tilpasset eller tilfeldig; den bruker alltid com.example.dat.a8andoserverx pakke-ID. På grunn av dette er det lett å identifisere slike prøver som 888 RAT.
I senere versjoner av 888 RAT (ikke den crackte RAT-byggeren), la vi merke til at byggeren var i stand til å skjule strenger (kommandostrenger, C&C og andre ren tekststrenger) ved å kryptere dem ved hjelp av AES med en hardkodet nøkkel; men pakkenavnet forble det samme.
C&C
888 RAT bruker en tilpasset IP-protokoll og port (det trenger ikke å være standardporter). Kompromitterte enheter styres direkte fra byggherrens GUI.
Facebook-phishing
Når denne funksjonaliteten utløses, vil 888 RAT distribuere phishing-aktivitet som ser ut til å komme fra den legitime Facebook-appen. Når brukeren trykker på knappen nylige apper, vil denne aktiviteten virke legitim, som vist i figur 7. Etter et langt trykk på denne appens ikon, som i figur 8, avsløres imidlertid det sanne appnavnet som er ansvarlig for Facebook-påloggingsforespørselen. .
Figur 7. Phishing-forespørsel synlig fra den nylige appmenyen
Figur 8. Virkelig applikasjonsnavn ansvarlig for phishing
Gjenkjenning
Siden 2018 har ESET-produkter identifisert hundrevis av forekomster av Android-enheter der 888 RAT ble distribuert. Figur 9 viser landsfordelingen av disse deteksjonsdataene.
Figur 9. Deteksjon av Android 888 RAT etter land
konklusjonen
Denne spionkampanjen har vært aktiv siden mars 2020 og kun rettet mot Android-enheter. Den målrettet den kurdiske etniske gruppen gjennom minst 28 ondsinnede Facebook-innlegg som ville få potensielle ofre til å laste ned Android 888 RAT eller SpyNote. De fleste av de ondsinnede Facebook-innleggene førte til nedlastinger av den kommersielle multiplattformen 888 RAT, som har vært tilgjengelig på det svarte markedet siden 2018. I 2019 ble en knust kopi av Pro-versjonen av 888 RAT-byggeren gjort tilgjengelig fra noen få nettsteder , og siden den gang har vi oppdaget hundrevis av tilfeller over hele verden med Android 888 RAT.
IoCs
Filer og ESET-deteksjonsnavn
| SHA-1 | Deteksjonsnavn |
|---|---|
| 87D44633F99A94C9B5F29F3FE75D04B2AB2508BA | Android/Spy.Agent.APU |
| E47AB984C0EC7872B458AAD803BE637F3EE6F3CA | Android/Spy.Agent.APG |
| 9A8E5BAD246FC7B3D844BB434E8F697BE4A7A703 | Android/Spy.Agent.APU |
| FED42AB6665649787C6D6164A6787B13513B4A41 | Android/Spy.Agent.APU |
| 8E2636F690CF67F44684887EB473A38398234430 | Android/Spy.Agent.APU |
| F0751F2715BEA20A6D5CD7E9792DBA0FA45394A5 | Android/Spy.Agent.APU |
| 60280E2F6B940D5CBDC3D538E2B83751DB082F46 | Android/Spy.Agent.APU |
| F26ADA23739366B9EBBF08BABD5000023921465C | Android/Spy.Agent.APU |
| 4EBEED1CFAC3FE5A290FA5BF37E6C6072A6869A7 | Android/Spy.Agent.APU |
| A15F67430000E3F6B88CD965A01239066C0D23B3 | Android/Spy.Agent.BII |
| 425AC620A0BB584D59303A62067CC6663C76A65D | Android/Spy.Agent.APU |
| 4159E3A4BD99067A5F8025FC59473AC53E07B213 | Android/Spy.Agent.APU |
| EF9D9BF1876270393615A21AB3917FCBE91BFC60 | Android/Spy.Agent.APU |
| 231296E505BC40FFE7D308D528A3664BFFF069E4 | Android/Spy.Agent.APU |
| 906AD75A05E4581A6D0E3984AD0E6524C235A592 | Android/Spy.Agent.APU |
| 43F36C86BBD370884E77DFD496FD918A2D9E023D | Android/Spy.Agent.APU |
| 8B03CE129F6B1A913B6B143BB883FC79C2DF1904 | Android/Spy.Agent.APU |
Facebook-profiler
https://www.facebook[.]com/android4kurd.official/
https://www.facebook[.]com/tech.info00
https://www.facebook[.]com/hewr.dliwar
https://www.facebook[.]com/husain.techno
https://www.facebook[.]com/zaid.abd.3785
https://www.facebook[.]com/profile.php?id=100039915424311
Facebook-grupper
https://www.facebook[.]com/groups/478454429578545/
https://www.facebook[.]com/groups/275108075847240/
https://www.facebook[.]com/groups/751242802375989/
https://www.facebook[.]com/groups/238330163213092/
Distribusjonslenker
https://apkup[.]xyz/M.Muhammad.Mala.Fayaq_v0.0.6.apk
https://apkup[.]xyz/5G.VPN.Speed_v1.3.4.apk
https://apkup[.]xyz/Ftwa.Islam.Online_v1.0.1.apk
https://apkup[.]xyz/Al-Hashd_V1.0.3.apk
https://apkup[.]xyz/KitabAltawhid_v1.0.4.apk
https://apkup[.]xyz/KDP._V1.2.0.apk
https://apkup[.]xyz/Dosyay16October_V1.2.0.apk
https://apkup[.]xyz/MobileNumberFinder__v1.3.apk
https://f.top4top[.]io/f_LusheAYOtmjzehyF8seQcA/1613135449/1662yvch41.apk
https://a.top4top[.]io/f_Jlno8C2DLeaq71Fq1JV6hg/1613565568/1837ppxen1.apk
https://b.top4top[.]io/f_yTmhbte0yVNbhQbKyh12og/1613135036/1665tzq3x1.apk
https://j.top4top[.]io/f_FQCcQa5qAWHzK_0NdcGWyg/1613134993/16874mc5b1.apk
https://l.top4top[.]io/f_MHfW2u_xnKoXdhjPknEx5Q/1613134914/1703t5b2z1.apk
https://b.top4top[.]io/f_cbXNkHR0T0ZOsTecrGM6iA/1613134863/1703lttbn1.apk
https://k.top4top[.]io/f_bznLRhgqMpAmWXYp1LLrNQ/1613134409/1690q040d1.apk
https://d.top4top[.]io/f_t7G4JjYm7_kzTsa0XYis6Q/1613134182/1749lglct1.apk
https://up4net[.]com/uploads/up4net-Xwakurk-1-0-4.apk
Phishing-lenker
https://apkup[.]xyz/snapchat/login.html
MITRE ATT&CK-teknikker
Denne tabellen dekker kun TTP-er for 888 RAT, og ble bygget med versjon 9 av ATT&CK-rammeverket.
| taktikk | ID | Navn | Beskrivelse |
|---|---|---|---|
| Innledende tilgang | T1444 | Masquerade som legitim applikasjon | 888 RAT etterligner legitime applikasjoner. |
| Utholdenhet | T1402 | Kringkastingsmottakere | 888 RAT lytter etter BOOT_COMPLETED-sendingen, og sikrer at appens funksjonalitet aktiveres hver gang enheten starter. |
| Forsvarsunndragelse | T1508 | Undertrykk applikasjonsikon | 888 RAT skjuler ikonet sitt. |
| T1447 | Slett enhetsdata | 888 RAT kan slette innsamlede og midlertidig lagrede filer og alle andre spesifikke filer. | |
| Legitimasjonstilgang | T1411 | Inndatamelding | 888 RAT prøver å phish Facebook-legitimasjon. |
| Discovery | T1418 | Søknadsoppdagelse | 888 RAT henter en liste over installerte apper. |
| T1420 | Fil- og katalogoppdagelse | 888 RAT identifiserer innholdet i spesifikke kataloger. | |
| Samling | T1433 | Få tilgang til anropslogg | 888 RAT eksfiltrerer samtaleloggen. |
| T1430 | Lokalsporing | 888 RAT henter enhetens plassering. | |
| T1432 | Få tilgang til kontaktliste | 888 RAT eksfiltrerer offerets kontaktliste. | |
| T1429 | Capture Audio | 888 RAT kan ta opp lyd fra omgivelser og samtaler. | |
| T1512 | Ta opp kamera | 888 RAT kan ta bilder fra kameraet foran eller bak. | |
| T1412 | Ta opp SMS-meldinger | 888 RAT kan eksfiltrere sendte og mottatte SMS-meldinger. | |
| T1533 | Data fra lokalt system | 888 RAT eksfiltrerer filer med spesielle utvidelser fra eksterne medier. | |
| T1513 | Screen Capture | 888 RAT kan ta skjermbilder. | |
| Kommandere og kontrollere | T1509 | Uvanlig brukt port | 888 RAT kommuniserer med sin C&C over port 4000. |
| Påvirkning | T1582 | SMS kontroll | 888 RAT-motstanderen kan sende SMS-meldinger. |
| T1447 | Slett enhetsdata | 888 RAT kan slette angriperspesifiserte filer fra enheten. |
Kilde: https://www.welivesecurity.com/2021/09/07/bladehawk-android-espionage-kurdish/
- 000
- 11
- 2019
- 2020
- 2021
- 7
- 9
- aktiv
- Ytterligere
- AES
- Sikter
- Alle
- analyse
- android
- app
- Søknad
- søknader
- apps
- rundt
- Angrep
- lyd
- Automatisert
- batteri
- Svart
- bygge
- bygger
- ring
- kameraer
- Kampanje
- Kampanjer
- saker
- kommer
- kommersiell
- innhold
- Credentials
- Cyberspionage
- dato
- Gjenkjenning
- Enheter
- oppdaget
- Funnet
- dns
- økosystem
- spionasje
- etc
- utvidelser
- forfalskning
- Figur
- Først
- første gang
- Gratis
- Google Play
- Gruppe
- her.
- historie
- HTTPS
- Hundrevis
- ICON
- identifisere
- info
- informasjon
- Intelligens
- IP
- IT
- Juli
- nøkkel
- kunnskap
- føre
- ledende
- Led
- linux
- Liste
- lokal
- plassering
- Lang
- malware
- Mars
- marsj 2020
- marked
- Media
- Mobil
- navn
- nyheter
- Annen
- andre
- phishing
- ping
- Porno
- porter
- innlegg
- president
- trykk
- pris
- pro
- Produkter
- Profiler
- offentlig
- ROTTE
- forskning
- Shell
- Kort
- SIX
- SMS
- snapchat
- solgt
- spre
- spionasje
- startet
- Støttes
- tech
- midlertidig
- trusselaktører
- trussel etterretning
- TikTok
- tid
- ristet brød
- Brukere
- VPN
- web
- Nettsted
- nettsteder
- vinduer
- verden
