ESET 研究人员最近调查了针对库尔德族群的有针对性的移动间谍活动,该活动至少从2020年3月开始就很活跃。通过Facebook专门的个人资料传播两个名为888 RAT和SpyNote的安卓后门,伪装成合法的应用程序。这些个人资料似乎以库尔德语提供 Android 新闻,以及为库尔德人的支持者提供新闻。一些个人资料故意将其他间谍应用程序传播到带有亲库尔德内容的 Facebook 公共群。数据显示,仅在Facebook的几篇帖子中,就有至少1481次来自URL的下载。
新发现的 Android 888 RAT 已被 Kasablanka 组织和 BladeHawk 使用。他们都使用了不同的名称来指代相同的 Android RAT——分别是 LodaRAT 和 Gaza007。
BladeHawk Android 间谍活动
本文所指的间谍活动与2020年公开披露的两起案件直接相关。QiAnXin 威胁情报中心将这些攻击背后的组织命名为 BladeHawk,本文延续了这个名称。这两个活动都是通过 Facebook 传播的,使用的是由商业自动化工具(888 RAT 和 SpyNote)构建的恶意软件,恶意软件的所有样本都使用相同的 C&C 服务器。
传播
研究人员锁定了六个 Facebook 个人资料网页,都属于BladeHawk 活动的一部分,这些网页都分享了这些 Android 间谍应用程序。他们向 Facebook 报告了这些个人资料,目前这些页面都已被删除。其中两个页面所分享的配置文件针对的是技术用户,而另外四个配置文件的网页则伪装成库尔德支持者。所有这些资料都是在2020年创建的,创建后不久,他们就开始发布这些虚假应用程序。除了一个伪装成合法应用程序的 Android RAT 帐户外,这些帐户没有发布任何其他内容。
这些个人页面还负责向 Facebook 的各类社群分享间谍应用程序,其中大部分是库尔德斯坦地区前总统马苏德·巴尔扎尼的支持者,这些目标群体总共有超过1.1万名粉丝。
在如下的示例中,研究人员发现了通过网络钓鱼网站以及捕获 Snapchat 凭据的尝试过程。
Facebook上的网络钓鱼网站
捕获 Snapchat 凭据的尝试
研究人员跟踪分析了 28 个有代表性的帖子作为 BladeHawk 活动的一部分。这些帖子都包含虚假的应用程序描述和下载应用程序的链接,研究人员能够从这些链接下载 17 个独特的 APK。一些 APK 网络链接直接指向恶意应用程序,而另一些则指向第三方上传服务 top4top.io,它跟踪文件下载的数量。这样,研究人员就可以从 top4top.io 获得了这八个应用程序的总下载量。从 2020 年 7 月 20 日到 2021 年 6 月 28 日,这八个应用程序总共被下载了 1481 次。
关于托管在第三方服务上的一个 RAT 样本的信息
样本分析
据我们所知,该攻击活动仅针对 Android 用户,攻击者集中使用了两个商业 Android RAT 工具——888 RAT 和 SpyNote。在研究人员的分析中,他们只发现了 SpyNote的一个样本。由于它是使用旧的、已经分析过的 SpyNote 构建器构建的,因此本文只对 888 RAT 样本进行分析。
Android 888 RAT 攻击样本分析
这个商业、多平台 RAT 最初仅以 80 美元的价格面向 Windows 生态系统发布。 2018 年 6 月,它在 Pro 版本中进行了扩展,增加了构建 Android RAT 的功能(150 美元)。后来,Extreme 版本也可以创建 Linux 有效载荷(200 美元)。
它是通过开发人员的网站 888-tools[.]com 出售的:
888 RAT 的价格
2019 年,Pro 版本(Windows 和 Android)被发现破解,并在一些网站上免费提供。
888 RAT破解版
888 RAT以前没有直接参与任何有组织的攻击活动,这是该 RAT 首次被指定为网络间谍组织。
在这个发现之后,研究人员能够将Android 888 RAT与另外两个有组织的活动联系起来,详情请点此 Spy TikTok Pro 和 Kasablanka Group 的活动描述。
具体功能
Android 888 RAT 能够执行从其 C&C 服务器收到的 42 个命令,如表 1 所示。
简而言之,它可以从设备中窃取和删除文件、截屏、获取设备位置、钓鱼式Facebook证书、获取已安装的应用程序列表、窃取用户照片、拍照、记录周围的音频和电话、拨打电话、窃取短信信息、窃取设备的联系人列表、发送短信等。
该构建器还用作 C&C 来控制所有受感染设备,因为它使用动态 DNS 供它们访问。
识别 888 RAT 时的一个重要因素是有效载荷的数据包名称。 Android 载荷的每个构建的数据包名称都不是自定义或随机的,而是始终使用 com.example.dat.a8andoserverx 包 ID。因此,很容易识别 888 RAT 这样的样本。
在 888 RAT 的更高版本(不是已破解的RAT构建器)中,研究人员注意到构建器能够通过使用带有硬编码密钥的AES加密字符串(命令字符串、C&C和其他纯文本字符串)来混淆字符串,但是,数据包名称仍然保持不变。
C&C
888 RAT使用自定义IP协议和端口(它不一定是标准端口),直接通过构建器GUI控制被攻击的设备。
Facebook 网络钓鱼进程
当恶意功能被触发时,888 RAT 将部署看似来自合法 Facebook 应用程序的网络钓鱼活动。当用户点击最近的应用程序按钮时,此活动看起来是合法的,如下图 所示。但是,在长按此应用程序的图标后,如下图 所示,负责 Facebook 登录请求的真实应用程序名称就会被披露。
最近的应用程序菜单中可见的网络钓鱼请求
负责网络钓鱼的真实应用程序名称
自 2018 年以来,ESET 已识别出数百个部署了 888 RAT 的 Android 设备实例。下图展示了该检测数据的分布区域。
Android 888 RAT的国家/地区分布
总结
该间谍活动自2020年3月以来就一直非常活跃,其只仅针对 Android 设备。它通过至少 28 个恶意 Facebook 帖子来进行钓鱼攻击,这些帖子会导致潜在受害者下载 Android 888 RAT 或 SpyNote。大多数恶意 Facebook 帖子都使用的是 888 RAT。
本文翻译自:https://www.welivesecurity.com/2021/09/07/bladehawk-android-espionage-kurdish/如若转载,请注明原文地址