时间:2022-11-13 22:55
米乐m6-登录入口
以色列国防军讲话人于上周日透露,以色列国防军和以色列国家宁静局克日举行了一项团结执法,乐成阻止了一场哈马斯(Hamas,伊斯兰反抗运动组织的简称)针对以色列国防军士兵提倡的攻击行动。这场代号为“Rebound”的攻击行动被怀疑与“双尾蝎”(APT-C-23)存在关联,这是一个自2016 年 5 月起就一直在针对巴勒斯坦和以色列两国教育、军事等重要领域实施有组织、有计划、有针对性攻击的黑客组织。
在这篇文章中,我们将带来网络宁静公司Check Point针对在Rebound行动中攻击者所使用的恶意软件的技术分析,以及Rebound行动与APT-C-23的关联。技术分析凭据Check Point的说法,在Rebound行动中,攻击者使用了手机远程会见木马(MRAT,Mobile Remote Access Trojan),它们均被伪装成了约会APP,包罗“GrixyApp”、“ZatuApp”以及“Catch&See”。首先,受害者会收到一个充满魅力的玉人发来的链接。
毫无疑问,这个链接就是用来下载恶意APP的,而这个所谓的玉人到底美不美,或者到底是不是女性,这就无法考究了。安装并打开APP后,受害者便会看到一条错误消息,提示设备不支持、APP将自行卸载。实际上,卸载并不会发生,恶意APP只是隐藏了自己的图标。图1.虚假的错误消息 图2.隐藏图标演示 随后,恶意APP便会通过MQTT协议与C2服务器举行通信。
图3.C2通信 恶意软件的主要功效是收集受害者的设备信息,如手机号、物理位置以及短信等,同时兼具通过吸收的一个下令来扩展其代码的能力。图4.收集设备信息 图5.收集已安装的APP列表 图6.收集存储信息恶意APP吸收到的下令会提供应它一个下载链接,指向一个DEX文件。
图7.下载DEX文件的代码 与APT-C-23的关联 在对Rebound行动举行了深入分析之后,Check Point发现攻击者所使用的战术、技术和法式(TTP)与APT-C-23在之前的运动中所使用的TTP很是类似。好比,在Rebound行动中,攻击者同样也使用了适用于安卓设备的后门法式,即伪装成约会软件的一系列恶意APP。且为了推广这些APP,攻击者同样也搭建了经由经心设计的网站,以提供恶意APP的下载链接。图8.恶意APP推广网站 在恶意APP推广网站catchansee[.]com上,泛起了Jim Morrison、Eliza Doolittle以及Gretchen Bleiler等名人的名字,而这正是APT-C-23常见的行为——在源代码和C2通信中引用影视角色的名字或名人的名字。
图9.服务器代码中对名人名字的引用 结语 此项行动再次提醒我们,仅靠系统开发人员的努力还不足以构建宁静的安卓生态系统。构建宁静的安卓生态,需要系统开发人员、设备厂商、APP开发人员和用户的配合关注和到场,以确保毛病修复法式的实时开发、分发、应用和安装。
本文来源:米乐m6-www.ygzgjt.com