《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 叙利亚电子政务门户沦为APT组织传播安卓木马的“帮凶”

叙利亚电子政务门户沦为APT组织传播安卓木马的“帮凶”

2021-07-30
来源:工控安全漫谈

  7月22日,在一项叙利亚电子政务门户网站中发现安卓恶意软件部署行为,安全研究人员发现该活动背后是一个名为StrongPity的APT(高级持续威胁)组织,这表明潜在受害者将受到升级武器库的危害。

  7月21日发布的一篇技术文章中表示:

  “据我们所知,这是该组织首次被发现使用恶意安卓应用程序开展攻击活动。”

  这次的活动操作和该组织过往的操作没有什么不同,攻击者将正常的应用程序重新打包成木马变体以推动进一步的攻击。

  叙利亚电子政务门户被利用

  该恶意软件伪装成叙利亚电子政务安卓应用程序,据说是在2021年5月创建的,该应用程序的清单文件(“AndroidManifest.xml ”)被修改为明确请求手机的额外权限,包括阅读能力联系人、写入外部存储、保持设备唤醒、访问有关蜂窝和Wi-Fi网络的信息、精确位置,甚至允许应用程序在系统启动后立即启动。

  此外,恶意应用程序意图长时间在后台执行运行任务,并触发对远程命令和控制 (C2) 服务器的请求,该服务器利用包含设置文件的加密负载进行响应,该文件允许“恶意软件”根据配置更改其行为,并更新其C2服务器地址。

  最后一点也是最重要的一点,“高度模块化”的植入程序能够清除存储在受感染设备上的数据,例如联系人、Word和Excel文档、PDF、图像、安全密钥以及使用Dagesh Pro Word Processor (。DGS) 保存的文件) 等,所有这些都被传输回C2服务器。

  尽管目前尚没有关于StrongPity在攻击中使用恶意安卓应用程序的公开报道,但趋势科技认为攻击者能成功开展行动的原因在于使用 C2 服务器,该服务器曾用于与黑客组织有关的入侵,臭名昭著的则是2019年7月AT&T的Alien实验室记录的一场恶意软件活动,利用受感染版本的WinBox路由器管理软件、WinRAR和其他受信任的实用程序来获取目标数据。

  研究人员说:

  “我们认为,攻击者正在探索多种向潜在受害者提供应用程序的方式,例如使用虚假应用程序和使用受感染的网站作为诱饵开展水坑攻击,诱骗用户安装恶意应用程序。”

  此外,他们还补充道:

  “通常,这些网站会要求其用户直接将应用程序下载到他们的设备上。为此,这些用户需要同意设备安装来自‘未知来源’的应用程序。这绕过了安卓生态系统的‘信任链’,这也使攻击者更容易传播其他的恶意组件。”

  StrongPity组织

  StrongPity,微软将其命名为Promethium,自2012年以来一直活跃,主要攻击目标为土耳其和叙利亚用户。2020年6月,该组织黑客参与了一波利用水坑攻击和篡改安装程序的活动,这些活动滥用流行的合法应用程序,用恶意软件感染目标设备。

  思科Talos去年透露:“Promethium多年来活动不断,且已经多次曝光,但背后的攻击者依然活跃。”




电子技术图片.png

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。