首页 科技内容详情
BladeHawk 组织行使Facebook钓鱼攻击库尔德组织

BladeHawk 组织行使Facebook钓鱼攻击库尔德组织

分类:科技

网址:

反馈错误: 联络客服

点击直达

a55555彩票网www.a55555.net)是澳洲幸运5彩票官方网站,开放澳洲幸运5彩票会员开户、澳洲幸运5彩票代理开户、澳洲幸运5彩票线上投注、澳洲幸运5实时开奖等服务的平台。

ESET 研究职员最近观察了针对库尔德族群的有针对性的移动特工流动,该流动至少从2020年3月最先就很活跃。通过Facebook专门的小我私人资料流传两个名为888 RAT和SpyNote的安卓后门,伪装成正当的应用程序。这些小我私人资料似乎以库尔德语提供 Android 新闻,以及为库尔德人的支持者提供新闻。一些小我私人资料有意将其他特工应用程序流传到带有亲库尔德内容的 Facebook 公共群。数据显示,仅在Facebook的几篇帖子中,就有至少1481次来自URL的下载。

新发现的 Android 888 RAT 已被 Kasablanka 组织和 BladeHawk 使用。他们都使用了差其余名称来指代相同的 Android RAT——划分是 LodaRAT 和 Gaza007。

BladeHawk Android 特工流动

本文所指的特工流动与2020年公然披露的两起案件直接相关。QiAnXin 威胁情报中央将这些攻击背后的组织命名为 BladeHawk,本文延续了这个名称。这两个流动都是通过 Facebook 流传的,使用的是由商业自动化工具(888 RAT 和 SpyNote)构建的恶意软件,恶意软件的所有样本都使用相同的 C&C 服务器。

流传

研究职员锁定了六个 Facebook 小我私人资料网页,都属于BladeHawk 流动的一部门,这些网页都分享了这些 Android 特工应用程序。他们向 Facebook 讲述了这些小我私人资料,现在这些页面都已被删除。其中两个页面所分享的设置文件针对的是手艺用户,而另外四个设置文件的网页则伪装成库尔德支持者。所有这些资料都是在2020年确立的,确立后不久,他们就最先宣布这些虚伪应用程序。除了一个伪装成正当应用程序的 Android RAT 帐户外,这些帐户没有宣布任何其他内容。

这些小我私人页面还认真向 Facebook 的各种社群分享特工应用程序,其中大部门是库尔德斯坦区域前总统马苏德·巴尔扎尼的支持者,这些目的群体总共有跨越1.1万名粉丝。

在如下的示例中,研究职员发现了通过网络钓鱼网站以及捕捉 Snapchat 凭证的实验历程。

Facebook上的网络钓鱼网站

捕捉 Snapchat 凭证的实验

研究职员跟踪剖析了 28 个有代表性的帖子作为 BladeHawk 流动的一部门。这些帖子都包罗虚伪的应用程序形貌和下载应用程序的链接,研究职员能够从这些链接下载 17 个怪异的 APK。一些 APK 网络链接直接指向恶意应用程序,而另一些则指向第三方上传服务 top4top.io,它跟踪文件下载的数目。这样,研究职员就可以从 top4top.io 获得了这八个应用程序的总下载量。从 2020 年 7 月 20 日到 2021 年 6 月 28 日,这八个应用程序总共被下载了 1481 次。

关于托管在第三方服务上的一个 RAT 样本的信息

样天职析

据我们所知,该攻击流动仅针对 Android 用户,攻击者集中使用了两个商业 Android RAT 工具——888 RAT 和 SpyNote。在研究职员的剖析中,他们只发现了 SpyNote的一个样本。由于它是使用旧的、已经剖析过的 SpyNote 构建器构建的,因此本文只对 888 RAT 样本举行剖析。

Android  888 RAT 攻击样天职析

这个商业、多平台 RAT 最初仅以 80 美元的价钱面向 Windows 生态系统宣布。 2018 年 6 月,它在 Pro 版本中举行了扩展,增添了构建 Android RAT 的功效(150 美元)。厥后,Extreme 版本也可以确立 Linux 有用载荷(200 美元)。

它是通过开发职员的网站 888-tools[.]com 出售的:

888 RAT 的价钱

2019 年,Pro 版本(Windows 和 Android)被发现破解,并在一些网站上免费提供。

皇冠登录线路www.x2w333.com)实时更新发布最新最快的皇冠手机网址、皇冠手机网址线路、皇冠手机网址登录网址、皇冠手机网址管理端、皇冠手机网址手机版登录网址、新2手机皇冠登录网址。

888 RAT破解版

888 RAT以前没有直接介入任何有组织的攻击流动,这是该 RAT 首次被指定为网络特工组织。

在这个发现之后,研究职员能够将Android 888 RAT与另外两个有组织的流动联系起来,详情请点此 Spy TikTok Pro Kasablanka Group 的流动形貌。

详细功效

Android 888 RAT 能够执行从其 C&C 服务器收到的 42 个下令,如表 1 所示。

简而言之,它可以从装备中窃取和删除文件、截屏、获取装备位置、钓鱼式Facebook证书、获取已安装的应用程序列表、窃取用户照片、摄影、纪录周围的音频和电话、拨打电话、窃取短信信息、窃取装备的联系人列表、发送短信等。

该构建器还用作 C&C 来控制所有受熏染装备,由于它使用动态 DNS 供它们接见。

识别 888 RAT 时的一个主要因素是有用载荷的数据包名称。 Android 载荷的每个构建的数据包名称都不是自界说或随机的,而是始终使用 com.example.dat.a8andoserverx 包 ID。因此,很容易识别 888 RAT 这样的样本。

在 888 RAT 的更高版本(不是已破解的RAT构建器)中,研究职员注重到构建器能够通过使用带有硬编码密钥的AES加密字符串(下令字符串、C&C和其他纯文本字符串)来混淆字符串,然则,数据包名称仍然保持稳固。

C&C

888 RAT使用自界说IP协媾和端口(它纷歧定是尺度端口),直接通过构建器GUI控制被攻击的装备。

Facebook 网络钓鱼历程

当恶意功效被触发时,888 RAT 将部署看似来自正当 Facebook 应用程序的网络钓鱼流动。当用户点击最近的应用程序按钮时,此流动看起来是正当的,如下图 所示。然则,在长按此应用程序的图标后,如下图 所示,认真 Facebook 登录请求的真实应用程序名称就会被披露。

最近的应用程序菜单中可见的网络钓鱼请求

认真网络钓鱼的真实应用程序名称

自 2018 年以来,ESET 已识别出数百个部署了 888 RAT 的 Android 装备实例。下图展示了该检测数据的漫衍区域。

Android 888 RAT的国家/区域漫衍

总结

该特工流动自2020年3月以来就一直异常活跃,其只仅针对 Android 装备。它通过至少 28 个恶意 Facebook 帖子来举行钓鱼攻击,这些帖子会导致潜在受害者下载 Android 888 RAT 或 SpyNote。大多数恶意 Facebook 帖子都使用的是 888 RAT。 

本文翻译自:https://www.welivesecurity.com/2021/09/07/bladehawk-android-espionage-kurdish/

环球ug会员开户www.ugbet.us)开放环球UG代理登录网址、会员登录网址、环球UG会员注册、环球UG代理开户申请、环球UG电脑客户端、环球UG手机版下载等业务。

  • ug环球官网(www.ugbet.us) @回复Ta

    2021-10-03 00:06:26 

    USDT跑分网www.Uotc.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U担保开放usdt otc API接口、支付回调等接口。

    情节好曲折。

发布评论