新2代理网址

www.122381.com)实时更新发布最新最快最有效的新2网址和新2最新网址,包括新2手机网址,新2备用网址,皇冠最新网址,新2足球网址,新2网址大全。

,

趋势科技的研究职员最近对泛起在叙利亚电子政务网站上的恶意 Android 恶意软件示例举行了考察,他们以为该示例可能是 StrongPity APT 组织研发的。据研究职员所知,这是该组织首次被果然考察到使用恶意 Android 应用程序作为其攻击的一部门。

StrongPityAPT组织最早在2016年被发现,那时它已经最先针对加密软件(如TrueCrypt 和WinRAR)用户提议攻击。该组织在已往几年就最先一直活跃,然则它主要使用零日破绽对目的实行攻击或监视用户及其行为。2019年7月StrongPity APT组织被曝光通过水坑攻击手段,使用恶意版本的WinRAR和其他正当软件包来熏染目的。2020年7月,思科Talos团队和Bitdefender公司划分公布讲述指出,APT组织StrongPity(又称Promethium)又对叙利亚库尔德族区域和土耳其发动水坑式攻击,实现监控和情报网络目的。

研究职员首先从 MalwareHunterTeam Twitter上共享的一个线程中领会到该示例。凭证讨论线索,研究职员领会到共享示例是叙利亚电子政务 Android 应用程序的木马化版本,该应用程序会窃取联系人列表并从受害者装备网络具有特定文件扩展名的文件。

来自该线程的一个响应指出,恶意 APK 很可能是使用类似“水坑”的手艺分发的:据称攻击者已经损坏了叙利亚官方电子政务网站,并用木马化版本的原始应用程序。由于此流动的可疑性子,研究职员决议进一步考察。

本文将讨论该组织与 Android 恶意软件相关的攻击计谋、手艺和程序 (TTP),以及为什么这些流动可归因于该攻击者。此外,研究职员还将深入领会攻击者的开发进度,并确定 StrongPity 天生的其他几个恶意 Android 恶意软件示例。最后,研究职员将简要讨论相关的恶意软件变种,包罗 Android 木马的第二个版本,它似乎正在开发中并包罗多项测试功效。

劈头考察

研究职员做的第一件事是检查托管恶意 APK 文件的 URL (https://egov[.]sy/mobile/egov[.]apk)。在撰写本文时,可从该网站下载的应用程序版本是叙利亚电子政务 Android 应用程序的清洁版本,与之前在 Twitter 上讨论的恶意应用程序差异。这意味着,在某一时刻,该应用程序的恶意版本已从网站中删除。

在VirusTotal上至少可以识别出六个具有相同应用程序名称(“بوابتي”)和匹配包名称(com.egov.app.*)的其他示例。研究职员验证了所有这些示例并得出结论,它们都是清洁的。该应用程序的这些清洁版本是在 2020 年 2 月至 2021 年 3 月时代确立的。研究职员信托它们都是来自叙利亚电子政务网站的官方应用程序。

Twitter 线程中提到的恶意示例可在 VirusTotal 上找到,停止撰写本文时,已检测到多个阳性效果。只管一些杀毒软件厂商将识别出的恶意示例检测为Bahamut,但研究职员嫌疑将Bahamut归因于Bahamut APT 组织是纰谬的。进一步的考察展现了一些可能将恶意示例与 StrongPity APT 组联系起来的工件。

恶意示例剖析

该应用程序的恶意版本 (fd1aac87399ad22234c503d8adb2ae9f0d950b6edf4456b1515a30100b5656a7) 确立于 2021 年 5 月(文件中的时间戳指向 2021-05-02,文件上传时间为 2021 年 5 月 24 日)。此应用程序使用差其余证书署名,并通过重新包装叙利亚 *** 的原始应用程序天生。另一方面,所有原始应用程序都使用另一个证书署名。


用于签署原始(顶部)和恶意应用程序(底部)的证书的对照

恶意应用程序对AndroidManifest.xml举行了修改,以包罗对附加类的引用,并请求装备上的附加权限。


恶意应用修改后的 AndroidManifest.xml

插入代码概览

攻击者向此应用程序添加了以下类;其中一些类(com.egov.app.NetworkStatusService、com.egov.app.Receiver)在修改后的 AndroidManifest.xml 中被引用。


添加到恶意应用程序的类显示在图像的右侧,原始类显示在左侧

上图显示了许多其他类随机天生的类名和方式名,这种命名模式很可能是由软件混淆工具发生的。

恶意代码初始化

该应用程序的恶意版本中添加了两个主要的附加组件:服务和吸收器。吸收方启动恶意服务,恶意服务被声明为Android Service,它是一个可以在后台执行长时间运行义务的应用程序组件。

此恶意服务使用类名“com.egov.app.NetworkStatusService”声明,并由 Receiver 类启动,研究职员对 Receiver 设置和代码的剖析发现了多种启动恶意 NetworkStatusService 服务的方式。

◼更改装备毗邻时启动该服务,djdeeu 类为 CONNECTIVITY_CHANGE 注册一个广播吸收器,该服务可以从启动器流动或其他注册的吸收器启动;

◼可以使用“警报”机制启动服务;

◼一旦启动恶意 NetworkStatusService 服务,它就会通过一组卖力处置特定新闻的新闻处置程序执行其恶意功效;

后门的架构

该示例使用“处置程序”机制来调剂触发恶意行为的新闻,自界说枚举结构用于界说新闻类型。

它界说了七种新闻类型,如图 4 所示。


七个界说新闻的代码

每个新闻通过处置程序触发差其余行为,以下是每个特定新闻的目的和行为的简要总结:

◼MSG_TRIG_ALARM_HEARTBEAT

收到此新闻后,会设置心跳新闻的周期性义务。

◼MSG_TRIG_ALARM_SYNC

收到此新闻后,将设置同步新闻的周期性义务。

◼MSG_HEARTBEAT

此新闻触发心跳功效,该功效向下令和控制 (C&C) 服务器发送请求并吸收带有加密载荷的响应。

加密后的有用载荷首先被保留在

接下来,将文件e.zip 解压到

最后,读取并剖析该文件。这些属性被提取并作为设置设置写入内陆共享首选项,允许恶意软件凭证设置更改其行为。

◼MSG_SYNC

同步是一种重复的行为,它以 3000 秒的周期上传在受熏染装备上网络的文件。

MSG_SYNC 的处置程序执行以下功效:

首先,它枚举

最后,它将zip文件上传到C&C服务器并删除

◼MSG_COLLECT

此新闻的处置程序从受害者的装备网络数据。首先,它会网络联系信息,然后是有关可用 Wi-Fi 网络的信息。

然后搜索装备文件并网络与预界说文件扩展名匹配的所有文件:



文件网络代码片断

◼MSG_TRIG_ALARM_COLLECT

收到此新闻后,将设置“网络新闻”处置程序的周期性义务。

◼MSG_CONNECTIVITY

此新闻将所有提到的新闻逐一发送。

后门的模块化功效

此示例使用高度模块化的组件来确立用于组件加载和卸载的天真架构。函数 onCreate 和 onDestroy 展示了加载和卸载组件的常用方式。

足球贴士网

免费足球贴士网(www.zq68.vip)是国内最权威的足球赛事报道、预测平台。免费提供赛事直播,免费足球贴士,免费足球推介,免费专家贴士,免费足球推荐,最专业的足球心水网。


显示 onCreate 和 onDestroy 函数的代码片断

以下是示例中使用的组件:

pekmek(加密治理器):使用 AES 来解密和加密文件和字符串;

ltymcr(Helper类):包罗许多适用函数,例如盘算唯一ID、剖析设置文件、写入/读取共享首选项和界说加密密钥的函数;


显示 ltymcr(Helper Class) 组件的代码片断

Sadwoo:用作 PowerWakeLock 的组件;

phkyxc:用作 WifiWakeLock 的组件;

tfsdne:这是一个用于 C&C 通讯的包装器,例如心跳和同步;

itxdrx(网络治理器):卖力处置HTTP协议通讯的组件;


itxdrx 组件中的代码

nhnhpi:卖力治理 C&C 服务器的组件;

该组件包罗初始 C&C 服务器的界说,初始值可以被笼罩。 StrongPity 后门能够通过“heartbeat”下令的设置更新来更新(包罗删除和添加)其 C&C 服务器地址。


处置 C&C 服务器添加和删除的代码

考察效果

当研究职员领会到攻击者若何将清洁的应用程序重新打包成木马变体后,研究职员决议在 VirusTotal 上搜索类似的示例。研究职员搜索了以类似方式重新打包并包罗类似恶意组件的其他应用程序。

类似的恶意示例

研究职员发现了由统一攻击者天生的其他几个示例。研究职员确定这些示例是相似的,由于所有示例(除了最后一个示例)也是从正常应用程序重新打包并插入了类似的恶意代码。


在VirusTotal上发现了类似的恶意示例

示例 75dc2829abb951ff970debfba9f66d4d7c6b7c48a823a911dd5874f74ac63d7b 是要害归因因素,是与 StrongPity 攻击者的主要链接,由于它与多个研究小组先前使用的 C&C 服务器通讯。

Windows 上的工具、计谋和程序

在撰写本文时,尚无关于 StrongPity 在攻击中使用恶意 Android 应用程序的已知果然讲述。为了增强研究职员对研究职员归因于 StrongPity 的准确性的信心,研究职员决议进一步检查他们的一些用于针对 Microsoft Windows 平台的示例,看看研究职员是否可以在他们的行动中识别出类似的工具、计谋和程序(TTP)。

正如研究职员在 Android 应用程序中看到的那样,StrongPity 小组倾向于重新打包清洁安装程序以天生这些应用程序的木马化版本。同样,这些后门的主要功效是从受害者的盘算机中搜索、网络和窃取文件。

例如,以下示例:48f67be806b4e823280f03ee5512ffd58deb6f37ecc80842265d4e8d2ca30055。该示例首先将一个名为“TrustedInstaller.exe”的文件放到


“TrustedInstaller.exe”文件中使用的代码

然后它会确立


显示确立目录的代码

若是研究职员检查另一个 StrongPity 示例(12818a96211b7c47863b109be63e951075cf6a41652464a584dd2f26010f7535),其逻辑是类似的,它将一个正常的安装程序放入Temp目录,并为删除的恶意文件确立一个目录。

以下是 Windows 示例和 Android 示例之间的三个显着的相似之处:

1. 它们都通过使用原始的清洁的应用程序伪装成正常的应用程序——Android样本将原始的应用程序重新打包成木马版本,而Windows样本则使用与原始程序一起打包的木马安装程序。

2. 网络和过滤受熏染装备上的文件。

3. 两者都是高度模块化的,Windows 示例有一个自力的提取和文件搜索模块,该功效也可以在最新的 Android 测试示例中看到。

与 StrongPity 的可能联系

研究职员发现了一些将恶意 Android 示例与 StrongPity 攻击者联系起来的线索。

示例 74582c3d920332117541a9bbc6b8995fbe7e1aff 与 URL 通讯,另一个 StrongPity 讲述中提到了域名“upn-sec3-msd[.]com”。

域命名模式和域获取手艺异常相似。例如,StrongPity 在 2020 年使用的域名具有与识别出的 Android 示例使用的域名类似的域名命名模式。

其中一个域名 networktopologymaps[.]com 很可能是在 Gandi 注册到期时购置的。该域名是通过 Porkbun 网络注册商获得的。

这类似于先前在 Talos 讲述中提到的域 hostoperationsystems[.]com。该域名也是通过 Porkbun 获得的,具有类似的域名命名模式。

与StrongPity相关的另一个值得注重的地方是文件扩展名列表,研究职员在 Android 示例中看到过。适用于 Windows 系统的木马变体中提供了类似的文件扩展名列表。例如,研究职员之前检查过的一个示例网络了具有以下扩展名的文件:


正如研究职员之条件到的,没有关于 StrongPity 攻击者在攻击中使用恶意 Android 应用程序的果然讲述。然则,研究职员检查了木马代码嵌入手艺以及统一攻击者为 Windows 平台编写的恶意代码的木马功效,研究职员发现了一些类似的模式。这使研究职员信托这些可能属于统一个攻击者。

StrongPity 努力开发新的恶意android应用

研究职员以为,StrongPity Threat 攻击者正在努力为 Android 开发后门程序。凭证研究职员确定的测试示例,研究职员可以看到攻击者实验了多种手艺来引诱潜在受害者:重新打包的应用程序、受熏染的网站和盛行应用程序的伪造变体。

凭证研究职员在伪造的三星平安服务应用程序(75dc2829abb951ff970debfba9f66d4d7c6b7c48a823a911dd5874f74ac63d7b)中发现的附加功效,研究职员以为在研究职员发现的 APK 文件中,重新打包的应用程序的第一个版本可能与 Android 应用程序捆绑在一起下一版本的开发中。

在第二个版本中,研究职员考察到攻击者开发并包罗了一些分外的组件,并增添了对更多新闻类型的支持。

下表显示了攻击者界说的类型。


攻击者界说的新闻类型

在这个版本中,MSG_COLLECT 不再存在,研究职员以为他们用 MSG_START_MODULES 替换了它,一条新闻用于从共享首选项中读取所有模块名称,并逐个启动/初始化它们。

研究职员无法接见这些模块,但凭证研究职员考察到的一些代码功效,研究职员信托这些模块旨在从受害者的装备网络数据并将网络到的数据写入内陆 SQLite db 数据文件。然则,研究职员无法在野外找到任何这些模块。

该木马的第 1 版和第 2 版之间尚有其他几个主要区别:

版本 2 中央跳新闻的新闻处置程序现在分为两个新闻:heartbeat和taken_config。这些新闻中的任何一个都可以吸收来自 C&C 服务器的响应并解密响应以更新内陆设置,类似于版本 1;

版本 2 使用差其余 AES 加密密钥:key("aaaanothingimpossiblebbb") 和 AES IV("aaaanothingimpos");

ScreenReceiver 类被添加到木马的第二个版本中。此 Receiver 的目的是通过 Screen_On 和 Screen_Off 事宜启动恶意服务;

若是装备具有 root权限,版本 2 可以执行“su”下令。这里 root 权限的主要用途是它可以静默授予权限。此类权限包罗可接见性、通知和其他。然则,研究职员没有发现任何证据注释该示例会实验对装备举行 root 操作;

版本 2 中添加了两个组件用于辅助功效和通知;

版本 2 使用 SQLite 来存储网络的数据,此外,它不再使用 ZIP;

在版本 2 中,“MSG_START_MODULES”中使用的分外模块是通过 heartbeat 或 take_config 新闻从 C&C 服务器下载的,有可能这些模块作为响应的一部门被解压到。

本文翻译自:https://www.trendmicro.com/en_us/research/21/g/strongpity-apt-group-deploys-android-malware-for-the-first-time.html Allbet Gaming声明:该文看法仅代表作者自己,与www.allbetgame.us无关。转载请注明:StrongPity APT 组织首{shou}次部(bu)署了 Android 恶意软件
发布评论

分享到:

“戴不戴口罩”撕裂美国社会
你是第一个吃螃蟹的人
发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。