随着现代威胁局势不断演进,威胁者也在不断发展。网络战争的障碍持续减少,之前不具备重大进攻能力的国家现在也能构建并广泛部署多平台的网络间谍活动。

移动平台的APT组织

Lookout 和 EFF 联合发布的这份报告披露了具备国家级 APT 能力的高产威胁组织“黑山猫 (Dark Caracal)”,它在多种平台上对全球目标发动攻击。经观测发现,该威胁组织一直在使用桌面工具集但将移动设备优先作为主要的攻击向量,是首批公开的执行全球间谍行动的移动平台的 APT 威胁组织之一。

或属于由黎巴嫩国家安全局,攻击目标遍布全球

报告认为“黑山猫”由位于黎巴嫩首都贝鲁特的国家安全局管理。报告指出发现了遍布超过21个国家数千名受害者的数百G 渗透数据。被盗数据包括企业的智慧财产和个人可识别信息。报告披露了90多个和“黑山猫”相关的 IOC,其中包括11个不同的安卓恶意软件IOC,26个适用于Windows、Mac 和 Linux 平台的桌面恶意软件IOC,以及60个基于域名/IP的IOC。

“黑山猫”的目标包括民族国家一般会攻击的个人和实体,包括政府、军事目标、公共设施、金融机构、制造企业和国防承包商。该报告披露的数据和军事人员、企业、医疗专家、活动分子、记者、律师和教育机构存在关联的数据。数据类型包括文档、通话记录、音频记录、加密通信客户端内容、联系信息、文本信息、照片和账户数据。

和“行动手册”存在关联

Lookout 和 EFF 的联合调查是在 EFF 公布《行动手册报告 (Operation Manual Report)》后开展的。《行动手册报告》说明了针对记者、活动分子、律师以及和哈萨克斯坦总统政见不同者;报告说明了可能和某个安卓组件有关的针对台式机器的恶意软件和技术。经过调查相关的基础设施和关联后,团队认为同样的基础设施可能分享于多个威胁组织之间并且勇于全新的攻击活动中。

由这个基础设施执行的看似无关的攻击活动表明,该基础设施由多个组织同时使用。行动手册很明显针对的是和哈萨克斯坦有关的人员,而“黑山猫”并未体现出和这些目标或相关目标存在关联的线索。这表明“黑山猫”要么使用要么管理着这个托管大量传播广泛的全球网络间谍活动的基础设施。

自2007年开始,Lookout 公司就一直在调查并追踪全球数以亿计的设备上发生的移动安全事件,“黑山猫”是迄今为止该公司发现的最高产的APT 组织之一。另外,Lookout 公司认为报告发现的活动只是“黑山猫”通过这个基础设施开展的少量活动。

使用多种工具和不断发展的基础设施

报告指出,“黑山猫”使用移动和桌面平台上的多种工具。“黑山猫”从暗网上购买或借用这些工具;Lookout 公司在2017年5月发现了“黑山猫”自定义开发的移动监控软件 (Pallas)。Pallas 出现在感染木马的安卓app中。“黑山猫”还使用了臭名昭著的 FinFisher 恶意软件。“黑山猫”大量使用名为 Bandook RAT 的 Windows 恶意软件,另外还使用了 Lookout 和 EFF 此前并未发现的多平台工具 CrossRAT,能够针对 Windows、OSX 和 Linux 平台发动攻击。

“黑山猫”使用不断发展的全球性基础设施。基础设施的运营人员并非使用传统的 LAMP 栈(搜索相关基础设施时会提供一个唯一指纹),而是选择使用 Windows 和 XAMPP 软件。Lookout 和 EFF 已发现由行动手册和“黑山猫”以及其它威胁组织共同使用的基础设施。“黑山猫”的幕后黑手难以确定,因为它使用了多种恶意软件类型,这个基础设施还被其它组织所使用。

本文由360代码卫士编译自Lookout报告

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。