揭露间谍软件Hermit(隐士)背后的大BOSS

APT 2年前 (2022) admin
992 0 0

Hermit“隐士”简介

Hermit“隐士”是以攻击者的命令和控制(C2)服务器使用的独特路径命名的,它是一种模块化监视软件,在部署后将其恶意功能隐藏在下载的包中。通过分析获得的“隐士”的25个已知模块中的16个,每个模块都具有独特的功能。利用这些模块以及核心应用程序拥有的权限,“隐士”能够获取设备的root权限、记录音频、拨打和重定向电话,以及收集敏感数据,例如通话记录,联系人,照片,设备位置和短信等。


Hermit“隐士”的攻击目标

2022年4月,Lookout研究人员捕获了针对哈萨克斯坦的“隐士”间谍软件样本,该活动的样本使用了“oppo.service”的标题,用于假冒中国电子制造商Oppo。样本用与掩盖其恶意活动的页面是一个Oppo官方支持的页面(http://oppo-kz.custhelp.com),该网站用哈萨克语编写,目前已下线。研究人员推断,间谍软件是通过仿冒来自合法来源的短信传播的,通过伪装成电信公司或智能手机制造商的应用程序,欺骗用户访问服务商的合法网页,实则在后台运行恶意活动。研究人员还发现了假冒为三星和Vivo的“隐士”恶意软件样本。

此外,研究人员在“隐士”的被动DNS记录中发现了“Rojava”字样,这是叙利亚东北部一个讲库尔德语的地区,且该地区常年危机不断。发现的域名(rojavanetwork.info)模仿了“Rojava Network”,这是一家提供对该地区的新闻报道和政治分析的媒体机构,如下图所示。因为该媒体通常支持叙利亚民主力量的行动,所以该地区可能也曾是“隐士”的攻击目标 。

揭露间谍软件Hermit(隐士)背后的大BOSS


Hermit“隐士”背后的大BOSS

根据2021年意大利议会颁布的文件(https://www.lookout.com/blog/hermit-spyware-discovery),文件提到了IOS版本的“隐士”间谍软件与意大利间谍软件供应商RCS Lab和电信运营商 Tykelab之间的关系。

RCS Lab是一家活跃了30多年的知名间谍软件供应商,与Pegasus开发商NSO Group Technologies和创建FinFisher的Gamma Group处于同一市场地位。这些公司被统称为合法拦截公司,声称只向合法使用间谍软件的客户销售产品,比如情报和执法机构。但事实上,这类间谍软件工具经常被滥用,以国家安全的名义监视企业高管、人权活动人士、记者、学者和政府官员。

根据维基解密2015年公布的泄露文件,早在2012年,RCS Lab是一家意大利间谍软件供应商HackingTeam(现在被称为Memento Labs)的经销商。两家公司的通信显示,RCS Lab与巴基斯坦、智利、蒙古、孟加拉国、越南、缅甸和土库曼斯坦的军事和情报机构进行了接触。下图是部分RCS Lab与这些国家情报机构接触的邮件截图。

RCS与智利情报机构联系的邮件截图如下:

揭露间谍软件Hermit(隐士)背后的大BOSS

https://wikileaks.org/hackingteam/emails/emailid/37577

RCS与蒙古情报机构联系的邮件截图如下:

揭露间谍软件Hermit(隐士)背后的大BOSS

https://wikileaks.org/hackingteam/emails/emailid/590093

RCS与土库曼斯坦情报机构联系的邮件截图如下:

揭露间谍软件Hermit(隐士)背后的大BOSS

https://www.occrp.org/en/daily/4160-central-asia-hacking-team-ok-d-spyware-show-for-turkmenistan-secret-police

Tykelab与RCS Lab的联系

除了意大利议会的文件,还发现了几件Tykelab与RCS Lab存在关联关系的证据。

证据一

Tykelab的一名现任员工在LinkedIn上的资料显示,也曾经在RCS Lab工作。

揭露间谍软件Hermit(隐士)背后的大BOSS

https://www.linkedin.com/search/results/people/?keywords=tykelab&origin=GLOBAL_SEARCH_HEADER&sid=h36

证据二

Tykelab公司也提供对于监控软件开发和交付相关的服务。一份Tykelab的招聘安全工程师的招聘启事显示,如下图,其中列出了一项可以直接应用于移动网络和设备监控的所需技能,强调了对移动网络漏洞、渗透测试和逆向工程的技术要求。

揭露间谍软件Hermit(隐士)背后的大BOSS

https://web.archive.org/web/20220223160631/http://www.tykelab.it/wp/jobs/security-engineer/

证据三

一个“隐士”C2的IP地址与另一个IP地址93.51.226.53使用了同一个SSL证书,值得注意的是,这个共享证书的地址字段填写的是意大利米兰,这是RCS Lab的总部所在地。

此外,93.51.226.53还使用了另一个SSL证书,证书信息中直接将RCS命名为组织,将Tykelab命名为组织单位,而且地址字段为罗马,这是Tykelab的总部所在地。

揭露间谍软件Hermit(隐士)背后的大BOSS

揭露间谍软件Hermit(隐士)背后的大BOSS

http://www.tykelab.it/wp/


总结

间谍软件Hermit(隐士)的背后运营者很可能是RCS Lab和Tykelab两家意大利的公司。这两家公司打着“提供技术解决方案”的旗号,实则在向巴基斯坦,智利,叙利亚,越南、缅甸等多个国家出售间谍软件。


参考链接:

https://www.lookout.com/blog/hermit-spyware-discovery

https://citizenlab.ca/2015/08/what-we-know-about-the-south-korea-niss-use-of-hacking-teams-rcs/


原文始发于微信公众号(白泽安全实验室):揭露间谍软件Hermit(隐士)背后的大BOSS

版权声明:admin 发表于 2022年6月21日 上午10:37。
转载请注明:揭露间谍软件Hermit(隐士)背后的大BOSS | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...