本次捕获的样本，采用了集成软件开发平台进行开发，但是核心的远程控制代码为开发者开发，其远控命令都在功能缩写前加了“M”，客户端和服务器都将指令称为“order”，所以我们将此家族木马命名为“MOrder RAT”。

(一) 伪装情况

捕获的样本应用名称分别为“kurdistanukurd”和“KurdistanMedia”。除在应用显示图标上使用库尔德斯坦民主党 (KDP)标志外，应用内更是直接通过webview组件加载相应的官方网站链接，分别为“https://kurdistanukurd.com/”和“https://kurdistanmedia.com/”，可以正常使用，具有很强的迷惑性。相应的应用运行后伪装的交互界面如下：               

(二) 远控功能

恶意样本启动后，进行初始化服务，C2服务器地址为“http://65.109.157.77”，初始化源码示例如下：

远控功能目前主要窃取受害者的通讯录、短信和其他社交软件资料等。移动端编写的指令和功能如下表：

受害者在安装运行样本后，会自动进行注册，与此同时，根据其服务器源码显示，会默认向数据库指令表中插入“MCNT”和“MSMS”指令，用于窃取受害者通讯录和短信。注册源码如下：

其他的远控指令更像是针对特定受害者的精准定制化指令，通过另一个服务器接口动态插入到数据库指令表中，受害者及对应指令示例如下：

(一) Ahmyth 介绍

Ahmyth 是一个开源的Android远程控制项目，分为服务器端和客户端，该项目常被用来制作Android端的RAT样本。其包含录音录屏拍照、获取设备文件、获取定位、获取联系人短信和通话记录及发送短信等功能。服务端控制界面示例如下：

(二) 样本分析

在此次攻击事件中，我们发现该组织制作了相关的Ahmyth RAT样本作为其攻击武器，然而并未发现其受害者，怀疑此武器还在制作测试阶段，暂未进行载荷投递和攻击使用。

在其制作的Ahmyth RAT样本中，使用的远控服务器与上面介绍的伪装应用使用的远控服务器相同，都为“65.109.157.77”。样本源码截图如下：

在其泄露的受害者用户表中，可以看到众多的库尔德语受害者名字。

在受害者通讯录文件中，姓名几乎全部采用库尔德语语言，电话号码大多数为伊朗号码，还含有少量的伊拉克号码，值得说明的是库尔德斯坦民主党（KDP）相关网站上联系电话也为伊拉克号码。受害者通讯录示例如下：

在通讯录中，我们追踪了部分联系人身份，示例是一个与库尔德人相关的线上哀悼的社交账号帖子，其中发现了通讯录中的联系人电话，姓名也大致相符，示例如下：

在对泄露的源码和受害者数据进行分析时，发现未在样本中显式使用的时间时区设置为中东某地区，相关时区设置源码截图如下：

在泄露的源码中，我们发现除自动插入的“MCNT”和“MSMS”指令外 ，其他指令都通过另一接口远程插入到指令表，而此接口是没有在已捕获的攻击样本中使用过的。

通过我们的技术追踪，我们发现访问此接口的ip地址中大部分来自中东某国的移动服务和通信公司，此外还有用于FTP服务器转载的服务器ip“193.36.85.60”和其他代理服务器。访问此接口的ip地址及溯源信息列表如下：

开发者在开发软件的过程中，容易因疏忽而留下一些开发者指纹信息，如开发时的调试log信息。在本次的攻击样本中，虽然大部分为开发框架源码，核心源码中log信息都采用了英语和数字标识，但还是有一处关键位置的log信息泄露，此处log采用硬编码的波斯语输出调试信息。源码截图如下：

在我们进行情报搜集时，发现库尔德斯坦民主党（KDP）网站曾发布过一篇文章，在文章中声称“某政权将名为kurdistanukurd.apk的文件通过社交网络等方式向库尔德活动人士投递，以此来获取手机和个人信息，此类文件经常有活动人士和政党的名义和内容发布，特别是与明珠当关系密切的网站，而大多数防病毒软件无法处理这种病毒，也无法破解它。”。

经过我们的分析与确认，文中提到的恶意文件与此次我们发现的样本为同一家族样本。库尔德斯坦民主党（KDP）网站文章详情如下：

沙猁猫组织（APT-Q-58）使用低成本、轻量便捷的武器，采用移动网络和远程代理服务器转载控制，都给对其活动的捕获、追踪和关联增加了难度。针对特定人群如何避免遭受移动端上的攻击，奇安信病毒响应中心移动安全团队提供以下防护建议：

目前，基于奇安信自研的猫头鹰引擎、QADE引擎和威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、奇安信天狗漏洞攻击防护系统、天擎、天机、天守、天眼高级威胁检测系统、奇安信NGSOC（态势感知与安全运营平台）、奇安信监管类态势感知等，都已经支持对此类攻击的精确检测。