月光鼠组织 (Molerats) 新近移动端攻击活动跟踪披露

一、概述

2020年12月，奇安信威胁情报中心移动安全团队捕获到Android平台上一款新型的的恶意RAT，分析显示该RAT最早出现于2017年，被持续使用至今，目前共有3个版本。经过溯源和关联后发现，该RAT属于Molerats APT组织特有的移动端武器，我们将其命名为GazaHT家族。根据奇安信威胁情报中心内部中文命名方式，我们将该组织重命名为月光鼠组织。

月光鼠组织来自中东某地区，攻击目标主要针对以色列人和巴勒斯坦人。该组织在2012年10月针对以色列政府目标发起恶意软件攻击，导致色列警察部门为保险起见断开了该部门所有计算机的网络访问权限而引起了媒体的关注。2013年国外安全厂商FireEye对将其披露并命名为Molerats ；此后该组织仍持续展开多个攻击活动，并被多家国内外安全厂商进行披露及命名,故拥有多个别名(别名：Gaza Hackers Team、Gaza cybergang、Gaza Cybergang、Operation Molerats、Extreme Jackal、Moonlight、ALUMINUM SARATOGA)。

以下我们披露一下月光鼠组织所使用的攻击战术，并对新近所用恶意代码做个技术分析。

二、载荷投递

通过对移动端的攻击样本分析可发现，月光鼠组织在移动端的攻击载荷采用伪装成谷歌应用商店相关应用和聊天应用的投递方式。奇安信威胁情报中心移动安全团队通过追踪分析后发现：月光鼠组织其中伪装成的聊天应用攻击载荷主要存放在钓鱼网站（ephoneservices.club），尽管该钓鱼网址标题说明“高质量，安全且可在Google Play上使用”，但一旦点击按钮便会直接下载恶意的攻击载荷。该网站的攻击载荷属于第二代RAT，另该网站在2020年7月被安全厂商ESET发布披露后不久失效。

三、攻击样本分析

月光鼠组织拥有自己特有的移动端GazaHT攻击样本家族，按照功能迭代已发展到现今的第三代，最新第三代已增加利用辅助功能对目前流行的社交应用进行窃取信息功能。GazaHT家族功能完善，可以获取通话记录，短信信息，照片，通讯录，地理位置信息，通话录音等。攻击者可以根据自身能力扩展更丰富的监控功能，且可以通过下发指令便捷的对受害用户手机进行远程操控。

远程控制指令和对应功能关系表

第一代

第一代版本出现于2017年8月，已具备主体窃取信息功能功能，代码未混淆。

同时C&C域名也直接明文存储在代码中。

第二代

第二代版本出现于2018年3月，其在第一代基础上开始窃取功能主体模块化拆分，同时对C&C地址进行AES加密存储，并开启混淆对抗分析。

第三代

第三代版本在2019年10月开始准备，真正被发现于2020年12月，其在第二代基础上新增包含利用AccessibilityService功能对目前流行的社交应用（whatsapp、telegram、facebook）进行窃取信息的功能。

四、攻击组织溯源分析

基于奇安信威胁情报中心移动安全团队的分析系统和红雨滴APT样本关联系统的追踪分析，奇安信威胁情报中心判断本次攻击活动归属为月光鼠组织（Molerats）。主要依据如下：

1. 样本针对阿拉伯语用户,可以推测该攻击主要针对中东国家。

2. 其中的一个C&C为pal4u.net，而pal4u.net 是该组织的一个常用资产。另其最新的C&C采用了巴勒斯坦Nepras For Media & IT域名商的域名systembackups.info，也间接印证符合该组织的地区身份。

3. 其最新的样本签名带有“Palestine”及“gaza”，也间接印证符合该组织的地区身份。

五、总结

自 2012 年以来月光鼠组织一直在中东地区活动，其主要使用网络钓鱼主题和诱骗文件的分析开展攻击。网络钓鱼可谓老生常谈，却仍是攻击者屡试不爽的惯用手法，显然还是最有效的战术之一。

应对这些攻击不仅需要安全厂商的各类安全产品的防护和到位的安全服务支持，更离不开企业对内部自身安全规程及企业内部员工安全防范意识的持续建设。针对普通用户如何避免遭受移动端上的攻击，奇安信威胁情报中心移动安全团队提供以下防护建议：

1. 在正规的应用商店下载应用。国内的用户可以在手机自带的应用商店下载，国外用户可以在Google Play下载。不要安装不可信来源的应用、不要随便点击不明URL或者扫描安全性未知的二维码。

2. 移动设备及时在可信网络环境下进行安全更新，不要轻易使用不可信的网络环境。

3. 对请求应用安装权限、激活设备管理器等权限的应用要特别谨慎，一般来说普通应用不会请求这些权限，特别是设备管理器，正常的应用机会没有这个需求。

4. 确保安装有手机安全软件，进行实时保护个人财产安全；如安装奇安信移动安全产品。

目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC等，都已经支持对此类攻击的精确检测。

附录A：IOC

附录B：奇安信威胁情报中心

奇安信威胁情报中心对外服务平台网址为https://ti.qianxin.com/。服务平台以海量多维度网络空间安全数据为基础，为安全分析人员及各类企业用户提供基础数据的查询，攻击线索拓展，事件背景研判，攻击组织解析，研究报告下载等多种维度的威胁情报数据与威胁情报服务。

奇安信威胁情报中心是北京奇安信科技有限公司（奇安信集团）旗下的威胁情报整合专业机构。该中心以业界领先的安全大数据资源为基础，基于奇安信长期积累的核心安全技术，依托亚太地区顶级的安全人才团队，通过强大的大数据能力，实现全网威胁情报的即时、全面、深入的整合与分析，为企业和机构提供安全管理与防护的网络威胁预警与情报。

微信公众号：

奇安信威胁情报中心：

奇安信病毒响应中心：

附录C：奇安信威胁情报中心移动安全团队

奇安信威胁情报中心移动安全团队一直致力移动安全领域及Android安全生态的研究。目前，奇安信的移动安全产品除了可以查杀常见的移动端病毒木马，也可以精准查杀时下流行的刷量、诈骗、博彩、违规、色情等黑产类软件。通过其内部分析系统可以有效支持对溯源分析等追踪。通过其高价值攻击发现流程已捕获到多起攻击事件，并在今年发布了多篇移动黑产报告，对外披露了四个APT组织活动，其中两个是首发的新APT组织（诺崇狮组织和利刃鹰组织）。未来我们还会持续走在全球移动安全研究的前沿，第一时间追踪分析最新的移动安全事件、对国内移动相关的黑灰产攻击进行深入挖掘和跟踪，为维护移动端上的网络安全砥砺前行。

附录D：奇安信移动产品介绍

奇安信移动终端安全管理系统（天机）是面向公安、司法、政府、金融、运营商、能源、制造等行业客户，具有强终端管控和强终端安全特性的移动终端安全管理产品。产品基于奇安信在海量移动终端上的安全技术积淀与运营经验，从硬件、OS、应用、数据到链路等多层次的安全防护方案，确保企业数据和应用在移动终端的安全性。

奇安信移动态势感知系统是由奇安信态势感知事业部及其合作伙伴奇安信威胁情报中心移动团队合力推出的一个移动态势感知管理产品。不同于传统移动安全厂商着重于APP生产，发布环节，为客户提供APP加固、检测、分析等；移动态势感知面向具有监管责任的客户，更加着重于APP的下载，使用环节，摸清辖区范围内APP的使用情况，给客户提供APP违法检测、合规性分析、溯源等功能。

附录E：参考信息

1. https://aptmap.netlify.app/#Molerats

2. https://www.fireeye.com/blog/threat-research/2013/08/operation-molerats-middle-east-cyber-attacks-using-poison-ivy.html

3. https://securelist.com/gaza-cybergang-updated-2017-activity/82765/

4. https://ti.qianxin.com/blog/articles/suspected-molerats-new-attack-in-the-middle-east/

5. https://www.welivesecurity.com/2020/07/14/welcome-chat-secure-messaging-app-nothing-further-truth

声明：本文来自奇安信威胁情报中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。