APT针对恐怖主义的间谍活动剖析.pdf

A P T 针 对 恐 怖 主 义 的 间 谍 活 动 剖 析 包盛斌 中孚信息元亨实验室安全研究员 包盛斌 前趋势科技安全研究员，现中孚信息元亨实验室安全研究员 研究方向：专注于沙箱、威胁捕猎、情报、BAS和反网络恐怖主义。 邮件：baoshengbin@ 微信：bugcry Twitter：@BaoshengbinCumt 演讲内容 PURPLE EARTH CROCOTTA反恐行动 2020 年 3 月底，我们捕获了在野APT组织PURPLE EARTH CROCOTTA，经过深入研究，我们发现查谟和克什米尔的网络间谍活动主要针对穆 斯林、锡克教徒、恐怖分子和恐怖组织的洗钱活动，该网络间谍活动自2014年以来一直活跃。此外，我们还发现了一些攻击者制作的与金融相 关的样本，这些样本主要针对查谟和克什米尔恐怖组织的洗钱活动。同时，我们利用受害者的联系人姓名和手机号码进行了相关性分析，分析结 果显示，虽然所有受害者来自巴基斯坦、印度、阿富汗、孟加拉国、伊朗、沙特阿拉伯、奥地利、罗马尼亚、格林纳达，和俄罗斯，但是他们最 终的定位信息显示是在克什米尔地区。 APT名解释 PURPLE：代表目标是政府或者军队 EARTH： 信息窃取或者间谍活动 CROCOTTA： CROCOTTA是南亚神话，半狼半犬的动物。 PURPLE EARTH CROCOTTA：南亚针对军队的间谍活动 狩猎背景: 复杂的地缘政治 自 20 世纪中叶以来，查谟和克什米尔一直是印度、巴基斯坦和中国之间争端的主题。 查谟和克什米尔地区 不仅存在严重的民族冲突和宗教冲突，恐怖组织和恐怖融资活动也很多。 狩猎背景:新冠疫情 2020年新冠疫情在世界各地肆虐，可以说无处不在，无孔不入。它的蔓延和由此产生的影响导致了一场前 所未有的全球性危机。 捕获核心猎物 基于原始CC domain spy[.]cashnow[.]ee， 利用图关联分析，找到其他的CC domain 例如：buy1248[.]online 和 cashnow[.]ee 武器分析：PhoneMonitor RAT 基于CC cashnow[.]ee ，发现最早的攻击样本 它于 2018 年 1 月开源 /globalpolicy/PhoneMonitor 武器分析： PhoneMonitor RAT技战术 武器分析：ProjectSpy Android RAT 武器分析：ProjectSpy iOS RAT ProjectSpy iOS RAT仅仅是一个测试版本 Concipit1248 iOS App将测试images发 送到C2 Server 武器分析：ProjectSpy RAT技战术 Android iOS Initial Access Credential Access Collection Command and Control Deliver Malicious App via Authorized App Access Stored Application Data Access Stored Application Data Commonly Used Port Standard Application Layer Protocol 武器分析： Seafko RAT 基于C2 buy1248[.]online，发现了第三种武器Seafko RAT Seafko Windows RAT功能 武器分析： Seafko Android RAT 技战术 C2特色通信方式使用IRC, IRC是Internet Relay Chat ,