Caracal Kitten组织在近期在伊朗地区活跃

APT 4周前 admin

40 0 0

攻击描述

近日中东地区黑客活动频发，山石网科威胁情报小组捕获了Caracal Kitten组织的移动端RAT样本。该RAT程序会收集感染者手机设备信息、通讯录、手机文件等一些列敏感信息回传黑客服务器。

简要分析

查看APK证书，存在明显的伪造痕迹。

包名为kurdistan[.]media[.]com

可以看到APK请求的权限，都是获取用户敏感信息的请求。允许访问设备存储文件、网络权限、读写执行权限，共享数据以及允许读取SIM卡上的通讯记录和转发能力。

创建服务后会定义C2服务器ip 65[.]109[.]157[.]77

查看APK命令解析器可以看到相关窃密功能

整理后功能列表如下

下面整理了对应功能的代码片段：

1、上传设备信息

黑客通过收集感染者的设备ID、手机号、唯一用户标识和SIM卡序列号

收集完成后向reciver.php文件发送数据

2、上传通讯录信息

3、上传短信

4、上传SD卡文件树

5、向指定电话发送短信

6、弹出Toast提示消息

7、上传指定文件到upload_file2.php

山石情报中心已收录相关样本，用户可以在山石网科威胁情报中心云瞻中查看相关IOC信息：

处置建议

及时更新系统和应用，在正规的应用商店下载应用。国内的用户可以在手机自带的应用商店下载，国外用户可以在Google Play下载。不要安装不可信来源的应用、不要随便点击不明URL或者扫描安全性未知的二维码。
移动设备及时在可信网络环境下进行安全更新，不要轻易使用不可信的网络环境。
不轻易开启Root权限；对请求应用安装权限、激活设备管理器等权限的应用要特别谨慎，一般来说普通应用不会请求这些权限，特别是设备管理器，正常的应用基本没有这个需求。
确保安装有手机安全软件，进行实时保护个人财产安全。

失陷指标

9a4375a519fc11dce701ae830f833407

426453b2c7beaaf275270daff8df4679

1453e01437e5ccdde646f50647e9535b

65[.]109[.]157[.]77

65[.]109[.]157[.]77[:]42474

关于山石网科情报中心

山石网科情报中心，涵盖威胁情报狩猎运维和入侵检测与防御团队。山石网科情报中心专注于保护数字世界的安全。以情报狩猎、攻击溯源和威胁分析为核心，团队致力于预防潜在攻击、应对安全事件。山石网科情报中心汇集网络安全、计算机科学、数据分析等专家，多学科融合确保全面的威胁分析。我们积极创新，采用新工具和技术提升分析效率。团队协同合作，分享信息与见解，追求卓越，为客户保驾护航。无论是防范未来威胁还是应对当下攻击，我们努力确保数字世界安全稳定。其中山石网科网络入侵检测防御系统，是山石网科公司结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成，满足各类法律法规如 PCI、等级保护、企业内部控制规范等要求。

山石云瞻威胁情报中心：

https://ti.hillstonenet.com.cn/ Caracal Kitten组织在近期在伊朗地区活跃

山石云影沙箱：

https://sandbox.hillstonenet.com.cn/