《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 敘利亞電子政務(wù)門戶淪為APT組織傳播安卓木馬的“幫兇”

敘利亞電子政務(wù)門戶淪為APT組織傳播安卓木馬的“幫兇”

2021-07-30
來源:工控安全漫談
關(guān)鍵詞: 敘利亞 政務(wù)門戶 APT 幫兇

  7月22日,在一項(xiàng)敘利亞電子政務(wù)門戶網(wǎng)站中發(fā)現(xiàn)安卓惡意軟件部署行為,安全研究人員發(fā)現(xiàn)該活動背后是一個名為StrongPity的APT(高級持續(xù)威脅)組織,這表明潛在受害者將受到升級武器庫的危害。

  7月21日發(fā)布的一篇技術(shù)文章中表示:

  “據(jù)我們所知,這是該組織首次被發(fā)現(xiàn)使用惡意安卓應(yīng)用程序開展攻擊活動?!?/p>

  這次的活動操作和該組織過往的操作沒有什么不同,攻擊者將正常的應(yīng)用程序重新打包成木馬變體以推動進(jìn)一步的攻擊。

  敘利亞電子政務(wù)門戶被利用

  該惡意軟件偽裝成敘利亞電子政務(wù)安卓應(yīng)用程序,據(jù)說是在2021年5月創(chuàng)建的,該應(yīng)用程序的清單文件(“AndroidManifest.xml ”)被修改為明確請求手機(jī)的額外權(quán)限,包括閱讀能力聯(lián)系人、寫入外部存儲、保持設(shè)備喚醒、訪問有關(guān)蜂窩和Wi-Fi網(wǎng)絡(luò)的信息、精確位置,甚至允許應(yīng)用程序在系統(tǒng)啟動后立即啟動。

  此外,惡意應(yīng)用程序意圖長時間在后臺執(zhí)行運(yùn)行任務(wù),并觸發(fā)對遠(yuǎn)程命令和控制 (C2) 服務(wù)器的請求,該服務(wù)器利用包含設(shè)置文件的加密負(fù)載進(jìn)行響應(yīng),該文件允許“惡意軟件”根據(jù)配置更改其行為,并更新其C2服務(wù)器地址。

  最后一點(diǎn)也是最重要的一點(diǎn),“高度模塊化”的植入程序能夠清除存儲在受感染設(shè)備上的數(shù)據(jù),例如聯(lián)系人、Word和Excel文檔、PDF、圖像、安全密鑰以及使用Dagesh Pro Word Processor (。DGS) 保存的文件) 等,所有這些都被傳輸回C2服務(wù)器。

  盡管目前尚沒有關(guān)于StrongPity在攻擊中使用惡意安卓應(yīng)用程序的公開報道,但趨勢科技認(rèn)為攻擊者能成功開展行動的原因在于使用 C2 服務(wù)器,該服務(wù)器曾用于與黑客組織有關(guān)的入侵,臭名昭著的則是2019年7月AT&T的Alien實(shí)驗(yàn)室記錄的一場惡意軟件活動,利用受感染版本的WinBox路由器管理軟件、WinRAR和其他受信任的實(shí)用程序來獲取目標(biāo)數(shù)據(jù)。

  研究人員說:

  “我們認(rèn)為,攻擊者正在探索多種向潛在受害者提供應(yīng)用程序的方式,例如使用虛假應(yīng)用程序和使用受感染的網(wǎng)站作為誘餌開展水坑攻擊,誘騙用戶安裝惡意應(yīng)用程序?!?/p>

  此外,他們還補(bǔ)充道:

  “通常,這些網(wǎng)站會要求其用戶直接將應(yīng)用程序下載到他們的設(shè)備上。為此,這些用戶需要同意設(shè)備安裝來自‘未知來源’的應(yīng)用程序。這繞過了安卓生態(tài)系統(tǒng)的‘信任鏈’,這也使攻擊者更容易傳播其他的惡意組件?!?/p>

  StrongPity組織

  StrongPity,微軟將其命名為Promethium,自2012年以來一直活躍,主要攻擊目標(biāo)為土耳其和敘利亞用戶。2020年6月,該組織黑客參與了一波利用水坑攻擊和篡改安裝程序的活動,這些活動濫用流行的合法應(yīng)用程序,用惡意軟件感染目標(biāo)設(shè)備。

  思科Talos去年透露:“Promethium多年來活動不斷,且已經(jīng)多次曝光,但背后的攻擊者依然活躍?!?/p>




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。