Lookout 安全公司的研究员发现某钓鱼攻击活动通过自定义监控软件感染安卓设备,从多个国家尤其是中东地区的高层提取数据。
研究人员指出,这款感染工具是 “Steal Mango”,已经为攻击者基础设施收集了超过30G 的受攻陷数据,包括通话记录、音频记录、设备位置信息以及文本信息。
Lookout 发布报告称,“这些工具是更具针对性的情报收集活动的一部分,我们认为是由巴基斯坦军方成员操纵的。调查显示,这一威胁组织通过使用这些监控软件工具成功地攻陷政府官员、军方成员、医疗专业人员和公民的移动设备。”
设备遭感染后,Stealth Mango 首先上传受感染设备中的所有数据,然后及时追踪变化情况。这些变化包括所安装设备的信息、SIM 卡变更、存储在设备和通讯列表中的图片和音频。
几个月来 Stealth Mango 已演进不少;例如,2018年2月,该工具也显示出如键盘记录、截屏和屏幕记录功能;实时追踪受害者;访问第三方社交媒体应用信息数据库的能力。
Lookout 公司表示,约100台唯一设备遭针对性监控活动的影响,包括政府官员、军方人员的设备,以及位于巴基斯坦、阿富汗、印度、伊拉克和阿联酋等地的活动家。其它国家如美国和德国的官员数据也遭收集。
Lookout 公司认为 Stealth Mango 的幕后黑手也是“透明部落行动 (Operation Transparent Tribe)”和“C-Major 行动 (Operation C-Major)”的幕后黑手。后两次攻击活动针对位于沙特阿拉伯和哈萨克斯坦的印度大使馆和印度军队发动攻击。
攻击向量
Lookout 公司的研究员认为攻击者通过钓鱼技术感染设备以及至少一种水坑传播 Stealth Mango。
首先,攻击者通常通过 Facebook Messenger将这个水坑 URL 发送给目标。这表明“攻击者正在使用虚假角色与目标连接,然后胁迫目标将恶意软件安装到设备。”
受害者点击这个 URL 后,就被引至水坑即第三方安卓应用商店 APKMonk (secureapps.azurewebsites[.]net)。然而,当受害者点击网站上的任意链接后,就被重定向至 Stealth Mango APK。
Lookout 公司指出,他们和微软一起拿下了这种水坑攻击,该账户已被挂起。
研究人员还发现威胁者们还使用了具有多种自定义工具的多平台能力;而且虽然多数研究集中于 Stealth Mango 安卓组件,也有证据表明,被指为 Tangelo 变体的 iOS 工具也正在开发过程中。
研究人员指出,这两款工具似乎是由同一个开发组织开发的,但目前尚不清楚这些 iOS 组件是否还处于试验阶段,以及它是否也被用于活跃的攻击活动中。
Lookout 公司的威胁情报主管 Michael Flossman 指出,“很可能还有一款 iOS 恶意软件和 Stealth Mango 结合使用并与同样的基础设施通信,但我们目前尚不确定它是如何被部署的。然而,鉴于 Tangelo 存在于另外一台服务器上,我们确定使用这个变体的也是同一伙人。”
威胁人员身份
Lookout 公司认为这些工具是由自由职业的开发人员开发的,他们和巴基斯坦官方之间存在关联,他们现身于巴基斯坦、印度和美国。
报告指出,通过进一步分析攻击者基础设施服务器端的日志后发现三个 IP 地址和巴基斯坦伊斯兰堡八国集团 (G-8) 的某个特定区域相吻合。
Lookout 公司的设备情报主管 Andrew Blaich 表示,这是另外一起使用商业工具而非利用 0day 或其它漏洞实施攻击的国家黑客组织案例,他们从这个模式中获得很多价值。他还指出,从监控软件角度来看,它存在很多变体,无需通过任何利用即可完成很多事情。
威胁人员的攻击方式也有一些出其不意的地方。
Flossman 指出,研究人员在查看威胁人员使用了两个 IP 地址的基础设施后发现,服务器非常易受攻击。威胁人员把全部精力都集中在设置远程基础设施上而并未没有对其实施保护。因此他们所收集的数据可遭公开访问。
另外一个让人惊讶的地方在于,Flossman 发现基础设施运行 WSO web shell,为第三方提供对服务器的完全控制权限。
Flossman 指出,目前尚不清楚这些攻击活动是什么时候部署的,但攻击是研究人员是在2018年1月中旬发现的。Stealth Mango 的最新版本是在2018年4月发布的。
另外,虽然实施这些攻击活动的基础设施似乎已被拿下,但并不能因此认为它们就会消失,或许后续会和其它移动组件再次浮出水面。
本文由360代码卫士翻译自threatpost
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。