源于南亚的APT组织:Bahamut最新移动端攻击活动披露

APT 1年前 (2022) admin
678 0 0
源于南亚的APT组织:Bahamut最新移动端攻击活动披露

点击上方蓝字关注我们

源于南亚的APT组织:Bahamut最新移动端攻击活动披露

PART

01

概述


        Bahamut是一个针对中东和南亚的高级持续威胁(APT组织,在移动端偏好使用钓鱼网站包括仿冒新闻网站、社交网站、VPN软件、聊天软件、色情软件网站分发移动端恶意木马进行攻击。

        近期,安天移动威胁情报团队基于安天特马风控体系监控到多例隶属于Bahamut的移动端攻击样本,并通过该系列样本拓线出多个隶属于Bahamut的C2服务器后台。

        其中一例C2后门服务器的受害者分析:其最早的受害者数据上传于2022年4月,因此推测此次攻击活动始于2022年4月之前;且该服务器中共存有65名受害者信息,受害者所处地域分布较散,包含阿根廷、澳大利亚、德国、印度、荷兰、俄罗斯、新加坡、瑞典、阿联酋、孟加拉国和英国等,其中位于印度,新加坡和荷兰的受害者居多。


源于南亚的APT组织:Bahamut最新移动端攻击活动披露

图1 Bahamut移动端木马受害者分布情况



PART

02

移动端攻击载荷分析

近期发现的隶属于Bahamut的移动端恶意样本如下所示:

源于南亚的APT组织:Bahamut最新移动端攻击活动披露

图2 Bahamut移动端恶意样本

以3C726B77585D359A5BBFF08AFD682971为例作简要分析

源于南亚的APT组织:Bahamut最新移动端攻击活动披露

图3 Bahamut恶意样本Secure Chat

该样本恶意功能包括:

  • 窃取用户通讯录信息

  • 窃取用户联系人信息

  • 窃取用户短信数据

  • 窃取用户通知信息

  • 窃取用户通话记录

  • 窃取用户文件列表

  • 窃取用户社交应用聊天记录,包括:conion、Facebook、singal、telegram、viber、whatsApp等


    恶意样本获取信息存放到数据库中,其中MainDatabase中存放远控后门的数据,chat_database中存放着聊天软件的数据

源于南亚的APT组织:Bahamut最新移动端攻击活动披露

图4 恶意样本存储受害者数据至两个不同的数据库中

MainDatabase中包括收集的conion数据、facebook、sinal、联系人、通话记录、telegram、viber、whatsapp、短信数据等

源于南亚的APT组织:Bahamut最新移动端攻击活动披露

图5 MainDatabase存储数据情况

chat_database中包括message、通知信息、聊天数据等

源于南亚的APT组织:Bahamut最新移动端攻击活动披露

图6 chat_databas存储数据情况

样本中包含的远控指令如下所示

源于南亚的APT组织:Bahamut最新移动端攻击活动披露

图7 接收指令代码

源于南亚的APT组织:Bahamut最新移动端攻击活动披露

表1-远控指令详情

恶意样本采用了Kotlin Coroutines(协程)来处理多线程操作。

源于南亚的APT组织:Bahamut最新移动端攻击活动披露

图8 多线程处理方式

后台服务器的功能根据恶意样本功能进行归类展示,内容包括用户信息、联系人、通话记录、sms记录、手机文件目录、telegram信息、signal信息、messenger信息、viber信息、conion信息、protected text信息、whatsapp信息和本机应用安装列表。

源于南亚的APT组织:Bahamut最新移动端攻击活动披露

图9 后台服务器登录之后的主界面

源于南亚的APT组织:Bahamut最新移动端攻击活动披露

图10  详细的受害者信息

PART

03

相关仿冒钓鱼网站


以下为样本分发的仿冒网站,可以看到是关于vpn应用、聊天应用、古兰经祷告应用和色情应用


https://thesecurevpn[.]com/ :

源于南亚的APT组织:Bahamut最新移动端攻击活动披露

图11 恶意样本SecureVPN分发网站

https://www.securechatnow[.]com/

源于南亚的APT组织:Bahamut最新移动端攻击活动披露

图12 恶意样本Secure Chat分发网站

https://islamia[.]app/

源于南亚的APT组织:Bahamut最新移动端攻击活动披露

图13 恶意样本IsLam360分发网站

https://iminglechat[.]de

源于南亚的APT组织:Bahamut最新移动端攻击活动披露

图14 恶意样本Mingle分发网站

https://cc[.]de

源于南亚的APT组织:Bahamut最新移动端攻击活动披露

图15 恶意样本ChatService分发网站

PART

04

受害者情况


通过分析受害者照片,发现受害者存在疑似人权组织人员。

源于南亚的APT组织:Bahamut最新移动端攻击活动披露

图16 受害者终端内图片

通过分析受害者的手机安装列表,发现多个Bahamut系木马,包括securechat、securevpn、moonchat和Islam 360等。

源于南亚的APT组织:Bahamut最新移动端攻击活动披露

图17 受害者安装列表分析

同时分析受害者的各聊天应用信息,发现存在分发钓鱼样本情况,推测恶意样本还通过各个聊天软件进行分发钓鱼

源于南亚的APT组织:Bahamut最新移动端攻击活动披露

图18 受害者聊天内容分析

另一个同源服务器:https://gkc****************na5.de/admin/devices,从界面功能来看,样本定制化增加了聊天功能

源于南亚的APT组织:Bahamut最新移动端攻击活动披露

图19 后台定制聊天功能

该同源服务器上存在样本分发链接:

https://gk*********dr5na5.de:8443/apk/ChatService_master.apk

https://gkc*********5na5.de:8443/apk/ChatService_master.apk,和此次发现的服务器上样本分发链接https://cc.de/apk/v1/ChatService_master.apk中的样本名一致,且该同源服务器与此次发现的服务器https://yc************u.de/admin/dashboard里面受害者数据存在着重复性。

源于南亚的APT组织:Bahamut最新移动端攻击活动披露

图20 两款恶意应用受害者存在重复性


PART

05

总结与建议


        此次基于安天特马风控体系发现的Bahamut系列样本及其后台服务器,攻击时间始于2022年4月份左右,其C2后台数据中包括了受害者的用户信息、联系人、通话记录、短信记录、手机文件目录、telegram信息、signal信息、messenger信息、viber信息、conion信息、protected text信息、whatsapp信息、app安装列表以及地理位置。

        Bahamut组织善于利用精心研制的仿冒钓鱼网站分发移动端攻击载荷,此次发现的为VPN应用、聊天软件应用、古兰经祷告应用和色情应用网站,在分析受害者的安装列表中,也发现此类软件。

        建议用户尽量在审核严格的官方应用市场中下载、升级移动应用,官方应用市场能过滤到大多数风险应用和恶意应用。



源于南亚的APT组织:Bahamut最新移动端攻击活动披露
附录一  关于安天移动安全
源于南亚的APT组织:Bahamut最新移动端攻击活动披露


关于安天移动安全武汉安天信息技术有限责任公司(简称安天移动安全)成立于 2010 年,是安天科技集团旗下专注于移动智能用户生态安全防护的科技公司。自主创新的移动反病毒引擎,在 2013 年以全年最高平均检出率荣获 AV-TEST“移动设备最佳防护”奖,实现了亚洲安全厂商在全球顶级安全测评领域重量级奖项零的突破。经过十余年的发展与积累,公司的反病毒引擎产品已与移动终端设备厂商、移动应用开发者、运营商、监管部门等移动设备产业链上下游企业机构伙伴成功合作,为全球超 30 亿移动智能终端设备提供全维度、全生命周期安全护航,已发展成为全球领先的移动互联网安全防护厂商。安天移动安全始终秉承安全普惠使命,通过自主创新国际领先的安全核心技术,与产业链各方共同打造操作系统内生安全的绿色生态链,为新时代用户打造国民级安全产品,在万物互联时代营造更安全和可持续的全场景健康数字体验。



源于南亚的APT组织:Bahamut最新移动端攻击活动披露
附录二  关于安天移动威胁情报团队
源于南亚的APT组织:Bahamut最新移动端攻击活动披露


安天移动威胁情报团队致力于移动APT活动研究及移动安全攻防对抗技术研究,由一支拥有前沿移动端安全对抗技术、多年境外APT组织实战对抗经验、漏洞分析与挖掘能力的一流安全工程师团队组成。在近些年,成功通过基于安天移动样本大数据的APT特马风控预警运营体系,持续发现包含肚脑虫、利刃鹰、APT37等多个APT组织的移动端攻击活动,并依托该体系建立了一线移动端攻击活动的捕获能力、拓线溯源分析能力。安天移动威胁情报团队未来将仍持续专注于移动安全领域研究,以安全普惠为核心价值观,建设一支召之即来,来之能战,战之必胜的顶尖网络安全团队,并将长久且坚定地维护移动网络世界安全。

原文始发于微信公众号(安天AVL威胁情报中心):源于南亚的APT组织:Bahamut最新移动端攻击活动披露

版权声明:admin 发表于 2022年10月28日 下午6:01。
转载请注明:源于南亚的APT组织:Bahamut最新移动端攻击活动披露 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...