令 近日,奇安信病毒响应中心移动安全团队监测到两个伪装成库尔德斯坦民主党(KDP)相关网站移动端应用的样本。
令 受害者会被窃取走手机上的个人通讯录、短信和其他社交软件资料等敏感信息。令 我们将该APT新组织命名为“沙猁猫”(CaracalKitten),该组织是奇安信独立发现并
全球率先披露的第16个APT组织,编号为APT-Q-58。
◇ MOrder RAT默认向数据库指令表中插入“MCNT”和“MSMS”指令,用于窃取受害者通讯录和短信。令 远控服务器使用FileZillaServer配置了FTP服务器转载,转移窃取到的受害者资料。
关键词: 库尔德斯坦民主党(KDP)、MOrder RAT、Ahmyth RAT、沙猁猫
近日,奇安信病毒响应中心移动安全团队监测到两个伪装成库尔德斯坦民主党(KDP)相关网站移动端应用的样本。经过分析和挖掘,发现其为攻击库尔德斯坦民主党(KDP)活动人士的恶意软件,该恶意软件会窃取受害者的通讯录、短信和其他社交软件资料等敏感信息。综合获取的情报,我们认为其攻击者较高概率为来自中东某政权背景的组织。该组织虽然与此前公开的Domestic Kitten、Ferocious Kitten和Rampant Kitten等组织有类似的攻击目标,但目前并未发现相关IOC资源和证据表明其归属于某一历史组织,且该组织具有更加明确的攻击目标,更清晰的攻击时间节点。我们根据该组织的攻击特点和组织特征,将其命名为“沙猁猫”,英文名“Caracal Kitten”,奇安信内部APT组织编号为APT-Q-58。沙猁猫是奇安信独立发现并全球率先披露的第16个APT组织。
公开情报显示,库尔德人是主要生活于西亚库尔德斯坦地区的游牧民族,总人口3000万,主要分布在土耳其、叙利亚、伊拉克、伊朗四国境内,在中东是人口仅次于阿拉伯、土
耳其和波斯的第四大民族。库尔德斯坦民主党(KDP)是库尔德人的一个民族政党,长期以来,与所属地区的政府和团体具有较复杂的关系。
本次攻击活动中,共捕获和挖掘出该组织2款武器,其一是伪装成库尔德斯坦民主党(KDP)中央网站和库尔德斯坦媒体移动端应用的MOrder RAT;其二是Ahmyth RAT的客户端样本。
一、 MOrder RAT
本次捕获的样本,采用了集成软件开发平台进行开发,但是核心的远程控制代码为开发者开发,其远控命令都在功能缩写前加了“M”,客户端和服务器都将指令称为“order”,所以我们将此家族木马命名为“MOrderRAT”。
(一) 伪装情况
捕获的样本应用名称分别为“kurdistanukurd”和“KurdistanMedia”。除在应用显示图标上使用库尔德斯坦民主党(KDP)标志外,应用内更是直接通过webview组件加载相应的官方网站链接,分别为“htps://kurdistanukurd.com/”和“https://kurdistanmedia.com/”,可以正常使用,具有很强的迷惑性。相应的应用运行后伪装的交互界面如下:
远控功能目前主要窃取受害者的通讯录、短信和其他社交软件资料等。移动端编写的指令和功能如下表:
指令
功能
MINFO
上传设备与授权信息
MCNT
MSMS
上传通讯录
上传短信
MLS
上传SD卡文件树
MSNDM
向指定电话发送短信
MMSG
Toast提示信息
MDWN
上传指定文件
MBRW
开启指定界面
受害者在安装运行样本后,会自动进行注册,与此同时,根据其服务器源码显示,会默认向数据库指令表中插入“MCNT”和“MSMS”指令,用于窃取受害者通讯录和短信。注册源码如下:
本文来自知之小站
PDF报告已分享至知识星球,微信扫码加入立享3万+精选资料,年更新1万+精选报告
(星球内含更多专属精选报告.其它事宜可联系zzxz_88@163.com)
