近年来,境外各类政府背景APT黑客组织不断对我国进行的网络攻击渗透日益猖獗,网络威胁情报和反网络恐怖主义研究已成为安全公司的新宠。
包盛斌先生分享了他在此方面的研究成果,揭示了 PURPLE EARTH CROCOTTA针对特殊人群的网络间谍活动细节。研究发现查谟和克什米尔的网络间谍活动自 2014 年以来一直活跃,主要针对穆斯林、锡克教徒、恐怖分子和恐怖组织的洗钱活动。
下面就让我们来回顾2021看雪第五届安全开发者峰会上《APT针对恐怖主义的间谍活动剖析》此议题的精彩内容。
从事网络安全3年,专注于沙箱、威胁捕猎、网络威胁情报、BAS和反网络恐怖主义研究。
以下为速记全文:
大家好,接下来我的演讲题目是《APT针对恐怖主义的间谍活动剖析》。我是来自中孚信息元亨实验室的安全研究员。我的研究方向是沙箱、APT、情报、威胁狩猎、反网络恐怖主义以及BAS。
我今天演讲的内容的话是因为自从美国进入中东之后,网络恐怖主义的成长是非常迅速的,所以在2020年的时候,我们团队针对反网络恐怖主义的APT进行了高级威胁狩猎。
于是在2020年3月份的时候,我们捕获了一个南亚的APT组织PURPLE EARTH CROCOTTA。经过深入研究,我们发现查谟和克什米尔的网络间谍活动主要针对穆斯林、锡克教徒、恐怖分子和恐怖组织的洗钱活动,该网络间谍活动自2014年以来一直活跃。此外,我们还发现了一些攻击者制作的与金融相关的样本,这些样本主要针对查谟和克什米尔恐怖组织的洗钱活动。
同时,我们利用受害者的联系人姓名和手机号码进行了相关性分析,分析结果显示,虽然所有受害者来自巴基斯坦、印度、阿富汗、孟加拉国、伊朗、沙特阿拉伯、奥地利、罗马尼亚、格林纳达,和俄罗斯,但是他们最终的定位信息显示是在克什米尔地区。
然后 APP组织的话主要是针对穆斯林、西科教徒,还有恐怖分子以及恐怖融资的一些活动。
下面我简单说一下,紫色这个单词的话主要是代表着APT的目标,它的主要是政府跟军队,EARTH的话它主要是指信息窃取和间谍活动,CROCOTTA的话目标就是这个APT的归属地的神话里面的一些动物。
下面我说一下整个过程是怎么狩猎的。整个狩猎背景的话,一个是我们研究了克什米尔的民族分布,在克什米尔的话像穆斯林锡克教徒,还有印度教徒,他占了整个地区的差不多99%的人口。
第二个的话就是复杂的地缘政治,复杂地缘政治的话有一部分是巴基斯坦实际控制,有一部分是印度实际控制,还有一部分是我国固有的领土。最后这张图片的话是我统计的克什米尔地区的恐怖组织的一些情况,像这一列的话它是属于已经消失的恐怖组织。中间这一列的话,它代表了正在活跃的一些恐怖组织在克什米尔。像最右边的话,这个的话它是代表了正在孵化中的一些恐怖组织跟极端组织。
另外一个的话就是2020年的话,整个新冠疫情在全球是非常严重的,除了美国这些最严重之外,其他就是克什米亚这个地方的话,它的疫情是也特别严重的,所以的话攻击者会利用新冠疫情做钓鱼诱饵,针对根据上面的复杂的地缘政治,还有一些新冠我们捕获的一些核心的诱饵,一个是它是指新冠更新的一个APP,另外一个的话就是古兰经的一个APP还有一个就是部落新闻的APP。大家都知道在印度、巴基斯坦以及很多中东地区它是部落制的,还有一个的话在整个克什米尔,还有巴基斯坦的穆斯林使用的都是乌尔都语。
最开始的话我们基于一个最原始的c2 Domain,我们对其进行了关联分析,然后我们找出了两个定位的两个Domain,下面我们会根据另外的两个Domain做分析。
根据第一个Domain,然后我们发现了它最早的一个工具样本出现在 Vt上面,然后这个样本的话他是伪装成Google样本,经过我们分析之后,它其实是一个PhoneMonitor RAT。PhoneMonitor RAT的话,它是2018年1月就开源了,然后在2019年的时候他被APT组织武器化了,像这个RAT的话,它基本上像什么文件上传偷拍以及偷取短信这些,还有还有通话记录这些都可以的。
这是C2的登录界面,我基于MITRE矩阵做的一个它的整个 TTPs的一个情况,首先他根据他把自己伪装成一个Google的APP,然后诱导受害者下载完了之后,然后就进行一系列的上传一些 SMS的这些信息,还有的话定位信息这些,还有打电话的一些日志,还有联系人列表,这些都是间谍软件非常常见的。
第二个武器的话它叫project spy,也就是新冠更新的APP, project spy的话它的登录界面也是非常酷炫的,然后我们命名的话也是根据它的登录的去做的命名,然后这个的话就比较全了,它的后台基本上都是自己写的一些代码,然后c2 服务端的话是用PHP写的,然后间谍功能它基本上很全了,偷取图片,偷取notification的一些信息,然后SMS、联系人等通通都会窃取。
另外一个的话 project spy的话它是跨平台的,然后一开始狩猎的时候,我们没发现它,然后后面的话在一次机会,攻击者就把它上传到苹果的APP Store上,然后后面我们就把它扒下来看了一下的话,它基本上是一个测试的样本,他基本上没有成型,它只不过是把一张测试的图片发送到他的后台服务器上面。
在下一个C2 Domain,我们发现了它的第三种武器,这种武器的话它是Seafko RAT,它是在2019年的时候出现在了地下市场,然后在2020年的时候,同样他们被APT武器化了,然后该RAT是跨平台的,它主要是针对windows跟Android。
windows功能的话它是比较多的,它首先会把这些基本的 IP信息端口,还有一些配套的这种还有一些他会对一些持盘的一些命令,就差那些光盘的一些秘密。
另外一个的话它还有剪切板下载执行,还有窃取浏览器浏览器上的一些密码,这些,还有一些录音什么的都是有的,还有一些文件操作,比如说它会删除一些文件,上传一些文件的等等,另外一个的话他会拿键盘的一些信息等。
它在安卓上面的话,它就在PhoneMonitor RAT的基础上,它加了大概也是这样加了两个TTPs,一个是偷一些文件和目录,比如说相机下面的图片等等,在这个RAT里面他比较有特色的一个是它的C2使用的是IRC, 这种互联网中继聊天的一种方式,接下来我们对受害者的数据进行分析,在2020年5月份的时候,社会者攻击者无意间泄露了它所有的受害者的数据和后端源码数据。
第一个的话我们分析buy1248.online这个上面的数据,这个数据的话非常有意思,是他把一些受害者的图片会base64编码放到DB里面,我们解出来的话,它其实是一张图片,这个图片里面的这些信息是乌尔都语,这些这个是比较敏感的,这个其实是巴基斯坦修建军事基地它需要的一些材料。
第二个的话这个就比较全了,它是cashnow.ee,泄漏数据包括所有的受害者的数据和后端源码数据,还有一个的话旧样本。后台的话它其实是有两个后台的,一个是叫TicTic Portal,这个的话他攻击者会把受害者的音频文件全部上传上去,然后另外一个的话就是真正的间谍网络的后台,后台的话他会把攻击者所有的什么Whatsapp的一些信息,Telegram的还有一些 SMS、联系人这些所有的数据上传上去。
于是我们针对这些信息,我们做了一个图关联,我们把IMEI、SMS、Phone number的15,954条信息做了一个图关联,我们发现受害者其实是一个“Group”,大家可以看这这个右上角的关联图。现在我们对 group的受害者进行一些数据分析,先分析用户画像,第一个的话恐怖组织成员,这是从受害者的 what里面拿到了图片,它其实是一个哈卡尼组织的一个恐怖分子成员,它是位于Azad Jammu and Kashmir。
另外一个的话就是上面介绍了一个诱饵是部落的新闻APP,这个的话它把部落新闻的发布者的手机给搞掉了。搞掉之后的话,我们从手机里面的图片还有一些音频信息可以拿到,其实发布者他是受控的,它的定位同样也位于巴控克什米尔。
第三个的话就是这个人非常有趣,他是一个在Telegram里面做电商的,同时的话他是虔诚军,虔诚军的话它是已经被列为恐怖组织了,还有一个身份是Bahujan Kranti Morcha成员,Bahujan Kranti Morcha它是印度的一群 达利特组成,当然它的位置也是在硬控的克什米亚。
下面的话就是我们分析一下它的用户画像的一些占比,还有它的国家来源。
在整个受害者里面的话,锡克教徒占了2%,穆斯林占了24%。然后还有一些是攻击者测试的模拟器占了8%,剩下的一部分的话就是恐怖组织成员占了55%。然后另外一个的话就是11%是未知,因为它的信息太少了,我们无法定位它是哪种成员。
从它的国家地区来看,除去欧洲的三个国家,就是俄罗斯,还有罗马尼亚等这三个国家的话。其他的成员基本上是一部分是来自中东,另外一部分主要是南亚。
其实很多人会以为中东的恐怖组织是主要的成长,但是的话经过我们研究发现的话,其实在南亚地区的组织分量是不比中东小的。在这里面我们可以看出最多的是来自巴基斯坦跟印度,还有阿富汗。另外的话沙特跟阿联酋这几个受害者是非常有趣的,我们分析出来它其实是背后的一个基础,就是恐怖融资的金主。虽然他们分布在那个世界各地,但是他们最终的去向最终的定位地区都是克什米尔地区。
好,下面我们进行感染链的分析。其实在整个感染链中的话,它有两部分,一部分是传统的间谍软件,另外一部分的话就是利用供应链攻击做反网络恐怖融资。
第一部分的话很常见,就是黑客把间谍软件的话放在whatsapp这种钓鱼的群里面,还有一些钓鱼的页面,然后诱导受害者者去下载的话,会把受害者的信息上传到云端,然后攻击者比较有趣的是他会分析这些社会者的数据,然后去更新间谍样本。
下面的一部分的话主要是做供应链攻击,在供应链攻击的时候,我们一开始发现了,他们要么是搞区块链的就比特币转账的这些一个平台,但是这个平台的话,因为它的 APP写出来,它是没有间谍软件的一些特征的,我们一直以为它正常的,结果后面发现这是一个供应链攻击。
首先我先介绍一下就是恐怖融资现在的玩法是怎么玩的?
第一个的话就是会在恐怖分子会在他们的官方页面上面把他们的比特币地址贴出来,贴出来之后,然后在Telegram里面去做宣传,宣传完了之后一些金主和恐怖分子通过Telegram、Whatsapp的群去联系他,最后通过区块链这种方式去做融资的。
现在我们看一下感染链第二部分的话,其实这个APP它其实是一个区块链的平台,这个区块链的平台它可以做转账之类的,所以是做洗钱以及恐怖融资是比较非常好的一种方式。
在整个过程中,其实先是由情报情报机构,情报机构把一些恐怖组织群这些提供给黑客,黑客负责区块链的一些东西发到这些群里面,让他们去下载,完了之后,然后开始做恐怖融资。
其实他们会给金主一个误导,就是你已经转账成功了,但是其实他们做了一个中间人,类似中间人一样的东西,就是黑客会拿到所有的比特币,然后的话,另外一个的话就是这个平台它是需要注册的,有了注册那么他就信息,有了信息之后,黑客可以去查云端的c2的信息,然后的话提报情报机构情报机构也可以从云端拿到一些情报,然后这样再给黑客转过去,这样就形成了一个闭环。
我们说一下接下来我们说说一下它的整个时间轴,它是在2014年的10月12号的时候,攻击者开始开发 C2,然后到了2019年5月份的时候,攻击者首次使用PhoneMonitor RAT,然后作为一个假的Google的apk诱惑受害者去下载,到了2019年9月份的时候,攻击者会把 iOS的APP上传到APP store,然后到了2020年5月份的时候,攻击者把他在Google朋友上面的样本我比 music下降了。然后到了2020年3月份的时候,攻击者运用新冠病毒去做攻击,然后到了现在的话,它攻击者还是在用新冠病毒去做一些攻击。
接下来我们开始做溯源分析,在受害者数据分析的时候,我们看到受害人群占比里面有8%的是攻击者测试的一些东西,然后的话我们通过测试的信息拿到了他在后台拍的一张照片,这个照片里面有个东西,如果用过PHP Storm作为服务端开发的软件的话,它会提示你更新结果。然后的话通过后台的代码发现了一个人名,然后再结合 PHP Storm中这个东西,我们在Twitter上面找不到他,从他的信息来看,他是一个全栈开发工程师,主要的后端的c2服务代码是他写的,他是在巴基斯坦的拉合尔。
然后利用下一个meta信息,我们找到了另外一个Java开发的,在整个攻击过程中,做Java开发的只有安卓了,他是在巴基斯坦的一所大学毕业,然后他是在他的 Facebook上面看的话,他是一个软件工程师,另外的话它的图片带有很强的地缘政治的色彩,停止在克什米尔杀戮,我不知道大家看过克什米尔的一些情报信息没有,在克什米尔的话,印度会对克什米尔进行宵禁等,然后这个时候会有很大的民族冲突,尤其是在穆斯林跟印度教徒之间。
接下来是iOS的开发,iOS的开发的话可能是最近经济不太好,他要找工作了,他把他的这些东西写在他的简历里面,然后就找到了他。
下面我们说一下这个APT组织的目标,这个APT组织的目标的话它不只是反恐,首先的话这个是我从印度印度一个受害者,他是印度第 15军的一个士兵的手机上面拿到的,印度15军的话,他主要负责的是克什米尔西北部面对巴基斯坦的一些战争。这个人应该很熟悉,他是印巴冲突的时候被巴基斯坦打下来的印度飞行员,所以他第一个目标,它是服役于印巴冲突的。
第二个目标就是2019年的时候,然后印度颁发了一个CAA法案, CAA法案的话,它有一定的信仰的冲突跟穆斯林之间,所以说然后他们会情报机构为了拿到这些最前沿的冲突信息,他会利用APT组织去搞。
第三个目标是从受害者的信息里面拿到了一个克什米尔独立的运动的组织的成员。其实在如果大家看新闻的话,其实大家肯定能看到克什米尔其实是一直想独立的,但是印度不让。
第四个目标自然就是恐怖恐怖组织了,在克什米尔其实超过了38个以上的恐怖组织,类似ISIS这些在克什米尔都是有分布的。
第五个目标是反网络恐怖主义融资的,这个之前在前面讲过,因为现在的话就是比特币这些融资的话是最安全的一种模式。
第六个目标,其实这个里面有一些未知的地缘政治冲突。从这一段英文的信息来看的话,是穆斯林世界跟一些美国还有以色列。大家知道以色列它是在阿拉伯世界里面的,但是它又不是穆斯林,他又不是信伊斯兰教的。
注意:点击阅读原文即可获得本次峰会演讲完整PPT!其它议题演讲PPT经讲师同意后会陆续放出!
原文始发于微信公众号(看雪学院):2021看雪SDC议题回顾 | APT针对恐怖主义的间谍活动剖析
