Các nhà nghiên cứu của ESET đã điều tra một chiến dịch gián điệp di động có mục tiêu chống lại nhóm dân tộc người Kurd và chiến dịch này đã hoạt động ít nhất là từ tháng 2020 năm XNUMX.
Các nhà nghiên cứu của ESET đã điều tra một chiến dịch gián điệp di động có mục tiêu chống lại nhóm dân tộc người Kurd. Chiến dịch này đã hoạt động ít nhất từ tháng 2020 năm 888, phân phối (thông qua các hồ sơ Facebook chuyên dụng) hai cửa hậu Android được gọi là 1,481 RAT và SpyNote, được ngụy trang dưới dạng các ứng dụng hợp pháp. Những hồ sơ này dường như đang cung cấp tin tức Android bằng tiếng Kurd và tin tức cho những người ủng hộ người Kurd. Một số hồ sơ cố tình phát tán các ứng dụng gián điệp bổ sung tới các nhóm công khai trên Facebook có nội dung ủng hộ người Kurd. Dữ liệu từ một trang web tải xuống cho thấy ít nhất XNUMX lượt tải xuống từ các URL được quảng cáo chỉ trong một vài bài đăng trên Facebook.
Android 888 RAT mới được phát hiện đã được sử dụng bởi Kasablanka nhóm và bởi BladeHawk. Cả hai đều sử dụng các tên thay thế để chỉ cùng một Android RAT – LodaRAT và Gaza007 tương ứng.
Gián điệp Android của BladeHawk
Hoạt động gián điệp được báo cáo ở đây được kết nối trực tiếp với hai công khai tiết lộ các trường hợp được công bố vào năm 2020. Trung tâm Tình báo Đe dọa QiAnXin đã đặt tên cho nhóm đứng sau các cuộc tấn công này là BladeHawk mà chúng tôi đã thông qua. Cả hai chiến dịch đều được phân phối qua Facebook, sử dụng phần mềm độc hại được xây dựng bằng các công cụ tự động, thương mại (888 RAT và SpyNote), với tất cả các mẫu phần mềm độc hại sử dụng cùng một máy chủ C&C.
phân phát
Chúng tôi đã xác định sáu hồ sơ Facebook là một phần của chiến dịch BladeHawk này, chia sẻ các ứng dụng gián điệp Android này. Chúng tôi đã báo cáo những hồ sơ này lên Facebook và tất cả chúng đã bị gỡ xuống. Hai trong số các hồ sơ nhắm đến người dùng công nghệ trong khi bốn hồ sơ còn lại đóng giả là những người ủng hộ người Kurd. Tất cả các hồ sơ này đều được tạo vào năm 2020 và ngay sau khi tạo, chúng bắt đầu đăng các ứng dụng giả mạo này. Các tài khoản này, ngoại trừ một tài khoản, đã không đăng bất kỳ nội dung nào khác ngoài Android RAT giả dạng ứng dụng hợp pháp.
Các hồ sơ này cũng chịu trách nhiệm chia sẻ các ứng dụng gián điệp cho các nhóm công khai trên Facebook, hầu hết trong số đó là những người ủng hộ Masoud Barzani, cựu Tổng thống Khu vực người Kurd; một ví dụ có thể được nhìn thấy trong Hình 1. Nhìn chung, các nhóm mục tiêu có hơn 11,000 người theo dõi.
Hình 1. Một trong những bài đăng trên Facebook
Trong một trường hợp, chúng tôi đã phát hiện ra một nỗ lực (Hình 2) nhằm thu thập thông tin đăng nhập Snapchat thông qua một trang web lừa đảo (Hình 3).
Hình 2. Bài đăng trên Facebook dẫn đến trang lừa đảo Snapchat
Hình 3. Trang web lừa đảo Snapchat
Chúng tôi đã xác định 28 bài đăng duy nhất là một phần của chiến dịch BladeHawk này. Mỗi bài đăng này chứa các mô tả và liên kết ứng dụng giả mạo để tải xuống một ứng dụng và chúng tôi có thể tải xuống 17 APK duy nhất từ các liên kết này. Một số liên kết web APK trỏ trực tiếp đến ứng dụng độc hại, trong khi những liên kết khác trỏ đến dịch vụ tải lên của bên thứ ba top4top.io, theo dõi số lượng tệp tải xuống (xem Hình 4). Do đó, chúng tôi đã thu được tổng số lượt tải xuống từ top4top.io cho tám ứng dụng đó. Tám ứng dụng này đã được tải xuống tổng cộng 1,481 lần, từ ngày 20 tháng 2020 năm 28 cho đến ngày 2021 tháng XNUMX năm XNUMX.
Hình 4. Thông tin về một mẫu RAT được lưu trữ trên dịch vụ của bên thứ ba
Mẫu
Theo hiểu biết của chúng tôi, chiến dịch này chỉ nhắm mục tiêu đến người dùng Android, với các tác nhân đe dọa tập trung vào hai công cụ Android RAT thương mại – 888 RAT và SpyNote. Chúng tôi chỉ tìm thấy một mẫu thứ hai trong quá trình nghiên cứu của mình. Vì nó được xây dựng bằng cách sử dụng một cái cũ, đã được phân tích Trình tạo SpyNote, ở đây chúng tôi chỉ bao gồm phân tích 888 mẫu RAT.
Android 888 CHUỘT
RAT thương mại, đa nền tảng này ban đầu chỉ được xuất bản cho hệ sinh thái Windows với giá 80 USD. Vào tháng 2018 năm 150, nó đã được mở rộng trong phiên bản Pro với khả năng bổ sung để xây dựng Android RAT ($200). Sau đó, phiên bản Extreme cũng có thể tạo tải trọng Linux ($XNUMX).
Nó được bán qua trang web của nhà phát triển tại 888-tools[.]com (xem Hình 5).
Hình 5. Giá cho 888 RAT
Vào năm 2019, phiên bản Pro (Windows và Android) đã bị bẻ khóa (xem Hình 6) và có sẵn miễn phí trên một số trang web.
Hình 6. Phiên bản crack của 888 RAT builder
888 RAT chưa được xác định trực tiếp với bất kỳ chiến dịch có tổ chức nào trước đây; đây là lần đầu tiên RAT này được chỉ định làm chỉ báo của một nhóm gián điệp mạng.
Sau khám phá này, chúng tôi có thể kết nối Android 888 RAT với hai chiến dịch có tổ chức hơn: Spy TikTok Pro mô tả ở đây và một chiến dịch bởi Tập đoàn Kasablanka.
Chức năng
Android 888 RAT có khả năng thực thi 42 lệnh nhận được từ máy chủ C&C của nó, như đã thấy trong Bảng 1.
Nói tóm lại, nó có thể đánh cắp và xóa các tệp khỏi thiết bị, chụp ảnh màn hình, lấy vị trí thiết bị, lừa đảo thông tin đăng nhập Facebook, lấy danh sách các ứng dụng đã cài đặt, đánh cắp ảnh người dùng, chụp ảnh, ghi lại âm thanh xung quanh và các cuộc gọi điện thoại, thực hiện cuộc gọi, đánh cắp SMS tin nhắn, đánh cắp danh sách liên lạc của thiết bị, gửi tin nhắn văn bản, v.v.
Trình tạo cũng được sử dụng làm C&C để kiểm soát tất cả các thiết bị bị xâm nhập vì nó sử dụng DNS động để chúng có thể truy cập được.
Bảng 1. Danh sách các lệnh được hỗ trợ
| Lệnh | Chức năng |
|---|---|
| unistxcr | Hiển thị chi tiết ứng dụng của ứng dụng được chỉ định |
| dowsizetr | Tải tệp lên máy chủ từ /sdcard/DCIM/.dat/ |
| DOWxóax | Xóa tệp khỏi /sdcard/DCIM/.dat/ |
| xr7aou | Tải tệp nhị phân lên máy chủ từ /sdcard/DCIM/.dat/ |
| Caspylistx | Liệt kê các tệp từ /sdcard/DCIM/.dat/ |
| kiểm tra spx | Kiểm tra xem dịch vụ ghi âm cuộc gọi có đang chạy không |
| S8p8y0 | Dừng dịch vụ ghi âm cuộc gọi |
| Sxxxy1 | Kích hoạt dịch vụ ghi âm cuộc gọi |
| screXmex | Chụp ảnh màn hình và tải lên máy chủ |
| batrxiops | Nhận mức pin |
| L4oclOCMAWS | Nhận vị trí thiết bị |
| FdelSRRT | Xóa tài liệu /sdcard/DCIM/.fdat (thông tin đăng nhập Facebook lừa đảo) |
| chkstzeaw | Kiểm tra xem ứng dụng Facebook đã được cài đặt chưa |
| IODBSSUEEZ | Tải thông tin đăng nhập Facebook lên C&C từ /sdcard/DCIM/.fdat |
| GUIFXB | Khởi chạy hoạt động lừa đảo trên Facebook |
| osEE | Nhận quyền được yêu cầu của ứng dụng được chỉ định |
| LUNAPXER | Khởi chạy ứng dụng cụ thể |
| Gapxplister | Lấy danh sách các ứng dụng đã cài đặt trên thiết bị |
| DOTRall8xxe | Nén tập tin trong /sdcard/DCIM/.dat/ thư mục và tải chúng lên C&C |
| acouxacour | Nhận tất cả các tài khoản thiết bị |
| phimxmiisx | Chụp ảnh từ máy ảnh và tải nó lên C&C |
| scxreexcv4 | Nhận thông tin về camera của thiết bị |
| micmokmi8x | Ghi lại âm thanh xung quanh trong thời gian đã chỉ định |
| DTXXTEGE3 | Xóa tệp cụ thể khỏi / thẻ SD thư mục |
| ODSEXem | Mở URL cụ thể trong trình duyệt mặc định |
| yufsssp | Nhận thông tin Exif từ tệp phương tiện cụ thể |
| getssspo | Nhận thông tin về việc liệu một tệp cụ thể có tồn tại trên thiết bị hay không |
| DXCXIXM | Nhận tên của tất cả các ảnh được lưu trữ trong /sdcard/DCIM/ |
| f5ileowqqww | Tải lên tệp cụ thể từ /thẻ SD/ thư mục |
| GExCaalss7 | Nhận nhật ký cuộc gọi từ thiết bị |
| SDgex8se | Liệt kê các tệp từ thư mục cụ thể từ / thẻ SD |
| PHOCA7 | Thực hiện cuộc gọi đến số được chỉ định |
| gxextsxms | Nhận hộp thư đến SMS |
| Msppossag | Gửi tin nhắn SMS đến số được chỉ định |
| Nhận liên hệx | Nhận danh bạ |
| Rinxgosa | Phát nhạc chuông trong sáu giây |
| Shetermix | Thực thi lệnh shell |
| bithsssp64 | Thực thi tập lệnh shell |
| Deldatall8 | Dọn dẹp, loại bỏ tất cả /sdcard/DCIM/.dat các tập tin |
| pvvvoze | Nhận địa chỉ IP |
| bảng chữ cái | Nhận TTL từ lệnh PING |
| M0xSSw9 | Hiển thị thông báo Toast cụ thể cho người dùng |
Một yếu tố quan trọng khi xác định 888 RAT là tên gói của tải trọng. Tên gói của mọi bản dựng tải trọng Android không phải là tùy chỉnh hoặc ngẫu nhiên; nó luôn luôn sử dụng com.example.dat.a8andoserverx ID gói Do đó, rất dễ xác định các mẫu như 888 RAT.
Trong các phiên bản sau của 888 RAT (không phải trình tạo RAT đã bẻ khóa), chúng tôi nhận thấy rằng trình tạo này có khả năng làm xáo trộn các chuỗi (chuỗi lệnh, C&C và các chuỗi văn bản thuần túy khác) bằng cách mã hóa chúng bằng AES bằng khóa được mã hóa cứng; tuy nhiên, tên gói vẫn được giữ nguyên.
C&C
888 RAT sử dụng cổng và giao thức IP tùy chỉnh (không nhất thiết phải là cổng tiêu chuẩn). Các thiết bị bị xâm phạm được điều khiển trực tiếp từ GUI của trình tạo.
Facebook lừa đảo
Khi chức năng này được kích hoạt, 888 RAT sẽ triển khai hoạt động lừa đảo dường như đến từ ứng dụng Facebook hợp pháp. Khi người dùng nhấn vào nút ứng dụng gần đây, hoạt động này sẽ có vẻ hợp pháp, như thể hiện trong Hình 7. Tuy nhiên, sau khi nhấn và giữ lâu vào biểu tượng của ứng dụng này, như trong Hình 8, tên ứng dụng thực sự chịu trách nhiệm cho yêu cầu đăng nhập Facebook được tiết lộ .
Hình 7. Yêu cầu lừa đảo có thể nhìn thấy từ menu ứng dụng gần đây
Hình 8. Tên ứng dụng thực chịu trách nhiệm về lừa đảo
Phát hiện
Kể từ năm 2018, các sản phẩm của ESET đã xác định được hàng trăm trường hợp thiết bị Android đã triển khai 888 RAT. Hình 9 trình bày phân phối quốc gia của dữ liệu phát hiện này.
Hình 9. Phát hiện Android 888 RAT theo quốc gia
Kết luận
Chiến dịch gián điệp này đã hoạt động từ tháng 2020 năm 28 chỉ nhắm vào các thiết bị Android. Nó nhắm mục tiêu vào nhóm dân tộc người Kurd thông qua ít nhất 888 bài đăng độc hại trên Facebook sẽ khiến các nạn nhân tiềm năng tải xuống Android 888 RAT hoặc SpyNote. Hầu hết các bài đăng độc hại trên Facebook đều dẫn đến việc tải xuống 2018 RAT thương mại, đa nền tảng, đã có sẵn trên thị trường chợ đen từ năm 2019. Vào năm 888, một bản sao bẻ khóa của phiên bản Pro của trình tạo 888 RAT đã được cung cấp từ một số trang web và kể từ đó, chúng tôi đã phát hiện hàng trăm trường hợp trên khắp thế giới sử dụng Android XNUMX RAT.
IoC
Tệp và tên phát hiện ESET
| SHA-1 | tên phát hiện |
|---|---|
| 87D44633F99A94C9B5F29F3FE75D04B2AB2508BA | Android/Spy.Agent.APU |
| E47AB984C0EC7872B458AAD803BE637F3EE6F3CA | Android/Spy.Agent.APG |
| 9A8E5BAD246FC7B3D844BB434E8F697BE4A7A703 | Android/Spy.Agent.APU |
| FED42AB6665649787C6D6164A6787B13513B4A41 | Android/Spy.Agent.APU |
| 8E2636F690CF67F44684887EB473A38398234430 | Android/Spy.Agent.APU |
| F0751F2715BEA20A6D5CD7E9792DBA0FA45394A5 | Android/Spy.Agent.APU |
| 60280E2F6B940D5CBDC3D538E2B83751DB082F46 | Android/Spy.Agent.APU |
| F26ADA23739366B9EBBF08BABD5000023921465C | Android/Spy.Agent.APU |
| 4EBEED1CFAC3FE5A290FA5BF37E6C6072A6869A7 | Android/Spy.Agent.APU |
| A15F67430000E3F6B88CD965A01239066C0D23B3 | Android/Spy.Agent.BII |
| 425AC620A0BB584D59303A62067CC6663C76A65D | Android/Spy.Agent.APU |
| 4159E3A4BD99067A5F8025FC59473AC53E07B213 | Android/Spy.Agent.APU |
| EF9D9BF1876270393615A21AB3917FCBE91BFC60 | Android/Spy.Agent.APU |
| 231296E505BC40FFE7D308D528A3664BFFF069E4 | Android/Spy.Agent.APU |
| 906AD75A05E4581A6D0E3984AD0E6524C235A592 | Android/Spy.Agent.APU |
| 43F36C86BBD370884E77DFD496FD918A2D9E023D | Android/Spy.Agent.APU |
| 8B03CE129F6B1A913B6B143BB883FC79C2DF1904 | Android/Spy.Agent.APU |
Hồ sơ Facebook
https://www.facebook[.]com/android4kurd.official/
https://www.facebook[.]com/tech.info00
https://www.facebook[.]com/hewr.dliwar
https://www.facebook[.]com/husain.techno
https://www.facebook[.]com/zaid.abd.3785
https://www.facebook[.]com/profile.php?id=100039915424311
Nhóm Facebook
https://www.facebook[.]com/groups/478454429578545/
https://www.facebook[.]com/groups/275108075847240/
https://www.facebook[.]com/groups/751242802375989/
https://www.facebook[.]com/groups/238330163213092/
Liên kết phân phối
https://apkup[.]xyz/M.Muhammad.Mala.Fayaq_v0.0.6.apk
https://apkup[.]xyz/5G.VPN.Speed_v1.3.4.apk
https://apkup[.]xyz/Ftwa.Islam.Online_v1.0.1.apk
https://apkup[.]xyz/Al-Hashd_V1.0.3.apk
https://apkup[.]xyz/KitabAltawhid_v1.0.4.apk
https://apkup[.]xyz/KDP._V1.2.0.apk
https://apkup[.]xyz/Dosyay16October_V1.2.0.apk
https://apkup[.]xyz/MobileNumberFinder__v1.3.apk
https://f.top4top[.]io/f_LusheAYOtmjzehyF8seQcA/1613135449/1662yvch41.apk
https://a.top4top[.]io/f_Jlno8C2DLeaq71Fq1JV6hg/1613565568/1837ppxen1.apk
https://b.top4top[.]io/f_yTmhbte0yVNbhQbKyh12og/1613135036/1665tzq3x1.apk
https://j.top4top[.]io/f_FQCcQa5qAWHzK_0NdcGWyg/1613134993/16874mc5b1.apk
https://l.top4top[.]io/f_MHfW2u_xnKoXdhjPknEx5Q/1613134914/1703t5b2z1.apk
https://b.top4top[.]io/f_cbXNkHR0T0ZOsTecrGM6iA/1613134863/1703lttbn1.apk
https://k.top4top[.]io/f_bznLRhgqMpAmWXYp1LLrNQ/1613134409/1690q040d1.apk
https://d.top4top[.]io/f_t7G4JjYm7_kzTsa0XYis6Q/1613134182/1749lglct1.apk
https://up4net[.]com/uploads/up4net-Xwakurk-1-0-4.apk
Liên kết lừa đảo
https://apkup[.]xyz/snapchat/login.html
Kỹ thuật MITER ATT & CK
Bảng này chỉ bao gồm các TTP cho 888 RAT và được xây dựng bằng cách sử dụng phiên bản 9 của khung AT&CK.
| Chiến thuật | ID | Họ tên | Mô tả |
|---|---|---|---|
| Quyền truy cập ban đầu | T1444 | Giả trang làm ứng dụng hợp pháp | 888 RAT mạo danh các ứng dụng hợp pháp. |
| Persistence | T1402 | Máy thu phát sóng | 888 RAT lắng nghe chương trình phát sóng BOOT_COMPLETED, đảm bảo rằng chức năng của ứng dụng sẽ được kích hoạt mỗi khi thiết bị khởi động. |
| Phòng thủ né tránh | T1508 | Chặn biểu tượng ứng dụng | 888 RAT ẩn biểu tượng của nó. |
| T1447 | Xóa dữ liệu thiết bị | 888 RAT có thể xóa các tệp được lưu trữ tạm thời và được thu thập cũng như bất kỳ tệp cụ thể nào khác. | |
| Quyền truy cập thông tin xác thực | T1411 | Lời nhắc đầu vào | 888 RAT cố gắng lừa đảo thông tin đăng nhập Facebook. |
| khám phá | T1418 | Khám phá ứng dụng | 888 RAT lấy danh sách các ứng dụng đã cài đặt. |
| T1420 | Khám phá tệp và thư mục | 888 RAT xác định nội dung của các thư mục cụ thể. | |
| Bộ sưu tập | T1433 | Truy cập nhật ký cuộc gọi | 888 RAT lọc lịch sử nhật ký cuộc gọi. |
| T1430 | Theo dõi vị trí | 888 RAT truy xuất vị trí thiết bị. | |
| T1432 | Truy cập Danh sách Liên hệ | 888 RAT lọc danh sách liên lạc của nạn nhân. | |
| T1429 | Ghi lại âm thanh | 888 RAT có thể ghi lại âm thanh từ môi trường xung quanh và các cuộc gọi. | |
| T1512 | chụp ảnh máy ảnh | 888 RAT có thể chụp ảnh từ camera trước hoặc sau. | |
| T1412 | Chụp tin nhắn SMS | 888 RAT có thể lọc các tin nhắn SMS đã gửi và nhận. | |
| T1533 | Dữ liệu từ Hệ thống cục bộ | 888 RAT lọc các tệp có phần mở rộng cụ thể từ phương tiện bên ngoài. | |
| T1513 | Chụp màn hình | 888 RAT có thể chụp ảnh màn hình. | |
| chỉ huy và kiểm soát | T1509 | Cổng không được sử dụng phổ biến | 888 RAT giao tiếp với C&C của nó qua cổng 4000. |
| Va chạm | T1582 | Kiểm soát SMS | Đối thủ 888 RAT có thể gửi tin nhắn SMS. |
| T1447 | Xóa dữ liệu thiết bị | 888 RAT có thể xóa các tệp do kẻ tấn công chỉ định khỏi thiết bị. |
Bài viết tương tự
Chuyên gia ESET: Trình nhấp chuột khiêu dâm trên Google Play 'là một chiến dịch thực sự có quy mô lớn'
Nguồn: https://www.welivesecurity.com/2021/09/07/bladehawk-android-espionage-kurdish/
- 000
- 11
- 2019
- 2020
- 2021
- 7
- 9
- hoạt động
- thêm vào
- AES
- Định hướng
- Tất cả
- phân tích
- Android
- ứng dụng
- Các Ứng Dụng
- các ứng dụng
- ứng dụng
- xung quanh
- Các cuộc tấn công
- âm thanh
- Tự động
- ắc quy
- Đen
- xây dựng
- xây dựng
- cuộc gọi
- máy ảnh
- Chiến dịch
- Chiến dịch
- trường hợp
- đến
- thương gia
- nội dung
- Credentials
- Hoạt động gián điệp mạng
- dữ liệu
- Phát hiện
- Thiết bị (Devices)
- phát hiện
- phát hiện
- dns
- hệ sinh thái
- gián điệp
- vv
- mở rộng
- giả mạo
- Hình
- Tên
- lần đầu tiên
- Miễn phí
- Google play
- Nhóm
- tại đây
- lịch sử
- HTTPS
- Hàng trăm
- ICON
- xác định
- Thông tin
- thông tin
- Sự thông minh
- IP
- IT
- Tháng Bảy
- Key
- kiến thức
- dẫn
- hàng đầu
- Led
- linux
- Danh sách
- địa phương
- địa điểm thư viện nào
- dài
- phần mềm độc hại
- Tháng Ba
- march 2020
- thị trường
- Phương tiện truyền thông
- di động
- tên
- tin tức
- Nền tảng khác
- Khác
- Lừa đảo
- ping
- Porn
- cổng
- bài viết
- Chủ tịch
- nhấn
- giá
- pro
- Sản phẩm
- Profiles
- công khai
- CON CHUỘT
- nghiên cứu
- Shell
- ngắn
- Six
- SMS
- Snapchat
- bán
- lan tràn
- gián điệp
- bắt đầu
- Hỗ trợ
- công nghệ cao
- tạm thời
- diễn viên đe dọa
- mối đe dọa tình báo
- tiktok
- thời gian
- bánh mì nướng
- Người sử dụng
- VPN
- web
- Website
- trang web
- cửa sổ
- thế giới
