2017032726

CSE ZLab 实验室发布关于 Dark Caracal 间谍组织及其恶意软件分析报告

  • 浏览次数 7883
  • 喜欢 0
  • 评分 12345

外媒 2 月 12 日消息,来自 CSE CybSec ZLAB 实验室的研究人员分析了黎巴嫩 APT 间谍组织 Dark Caracal 在黑客行动中使用的 Pallas 恶意软件家族样本集。分析指出,该恶意软件能够收集目标应用程序的大量敏感数据,并通过在运行时解密的加密 URL 将其发送到 C&C 服务器。

其实 Dark Caracal 自 2012 年就开始活跃,不过直到最近它才被认定在网络竞技场中具有强大的威胁性。

根据之前报道,电子前沿基金会 Frontier Foundation 和 安全公司 Lookout 联合调查发现与黎巴嫩总安全局有关的监控间谍组织 Dark Caracal APT 从世界各地的 Android 手机和 Windows PC 中窃取大量数据,并且最近有黑客组织将 Dark Caracal 间谍软件平台出售给某些国家用来监听。据研究人员介绍,该间谍活动通过制造大量虚假 Android 应用程序并利用社交工程(如钓鱼邮件或虚假的社交网络信息)来传播含有木马的恶意软件,过去的六年里已牵涉到来自 21 个国家的记者、军事人员、公司和其他目标的敏感信息(短信、通话记录、档案等)。

44398-1-470x220

Dark Caracal 影响范围

研究人员称 Dark Caracal 最强大的广告活动之一是在去年头几个月开始的,该活动使用了一系列木马化的 Android 应用程序,旨在从受害者的移动设备中窃取敏感数据。 据悉,在这些应用程序中注入的木马是已被研究人员发现的 Pallas。

那么攻击者是如何一步步行动来感窃取数据的?

攻击者使用 “ 重新包装 ” 技术来生成其恶意软件样本,具体流程是:从合法的应用程序开始,在重新构建 apk 之前注入恶意代码。一般来说,目标应用程序属于特定类别,例如社交聊天应用程序(Whatsapp、Telegram、Primo)、安全聊天应用程序(Signal、Threema)或与安全导航相关的软件(Orbot,Psiphon)。

在恶意软件制作成功之后,攻击者利用社交工程技术欺骗受害者安装恶意软件,比如使用 SMS、Facebook 消息或 Facebook 帖子,诱骗受害用户通过特定网址下载新版流行的应用程序,目前这些木马化的应用程序都被托管在同一个 URL 上。

dark-caracal-cse

图为 – Dark Caracal Repository – 恶意站点

当用户设备受到感染后,攻击者利用恶意应用程序收集大量数据,并通过在运行时解密的加密 URL 将其发送到 C&C 服务器。

以下为该木马的具体功能:

– 阅读短信

– 发简讯

– 记录通话

– 阅读通话记录

– 检索帐户和联系人信息

– 收集所有存储的媒体并将它们发送到C2C

– 下载并安装其他恶意软件

– 显示一个网络钓鱼窗口,以尝试窃取凭证

– 检索连接到同一网络的所有设备的列表

完整分析报告见:

20180212_CSE_DARK_CARACAL_Pallas_Report.pdf >

消息来源:Security Affairs,编译:榆榆,校审:FOX;

本文由 HackerNews.cc 编译整理,封面来源于网络;

转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

hackernews_foot