基于报告中提到的信息,经过360安全大模型进行关联后,我们挖掘到了更多相关样本。分析发现所有样本均属于SpyNote家族,近期的样本使用了NPManager工具进行混淆。由于攻击方身份无法确认以及和现有APT组织没有资产重叠,因此我们暂无法将其归到特定的APT组织。
根据原始报告,我们共扩展出了25个强关联的样本,对这25个样本进行云查分析,共发现了15台受感染的移动设备。这些设备的感染时间集中在2022年12月-2023年4月。
基于360安全大模型,我们对这15台设备进行了画像分析,发现所有的设备均位于印度,其中发现了3台存在高价值的设备。
1.载荷投递分析
在对受害者进行分析过程中我们发现,大部分的受害者是通过WhatsApp接收的恶意APK文件,且文件名进行了伪装。由此可知,攻击者应该先是通过社会工程学找到了目标社交账号,然后通过WhatsApp进行聊天后向目标直接发送伪装了名称的恶意APK文件。
2.攻击样本分析
本次攻击事件使用的样本均为SpyNote家族变种,该家族样本的相关功能在我们很多报告中都有涉及,这里不再赘述。
攻击样本的伪装对象都是文档、相册、通讯录,且部分样本的文件名也极具针对性。
| 极具针对性的文件名 |
| OFFICERs Restructuring Course Purposal 23.apk |
| New SWC COMDR LT Gen BS RAJU Visit Plan 23.apk |
| Leadership in Indian Army.apk |
| ARMY UNITS MOV PLAN FOR LEH ANNUAL 2023-2024.apk |
| Punjabi grammar.apk |
样本的修改时间最早是2022年10月15日,因此攻击时间可追溯到2022年。值得注意的是,近期样本开始使用公开的NPManager工具进行代码混淆,且使用这个工具的样本最早的混淆日期是2023年10月16日。可见攻击者正在测试躲避安全软件的查杀。
图 样本中包含的混淆信息
在对样本进行分析过程中发现,除了2022年的几个样本具备桌面启动图标外,后期所有样本均无启动图标。这些具备桌面启动图标的样本启动后会加载并显示Google网盘上分享的文件或文件夹,在后台进行信息窃取行动。Google网盘上的文件分别由用户名为johnjameswick60和johnkin6029的两个用户于2022年10月至11月期间创建。网盘中分享的文件包括:
-
- 关于人员选拔的结果清单
- 关于Punjabi语言的全面语法指南
- 关于贷款的备忘录
- 建筑工程的投标书
- 色情图片和视频、女性图片
我们通过样本溯源发现了和APT-C-56(透明部落)组织相关的线索。某些样本所在的设备上也存在透明部落组织的样本,比如93f092ed4a4681992226b81a8a45468c这个样本所在设备上也存在3个透明部落组织其它Android家族以及Windows平台的样本。
| 样本MD5 | 平台 | 家族 |
| 9080713f38f1017065a68c22234a506e | Android | XploitSpy |
| 9014df879c09fabe3c5de7b4a67b3ec3 | Android | RlmRat |
| 7863d16086dbaa1f540f23c2371041ec | Windows | Limepad |
尽管这些并不能证明该起事件和透明部落组织有关系,但是这给我们提供了一种归属的可能性。
该起攻击活动大量使用开源软件,且攻击目标也和APT-C-56(透明部落)组织有相似之处。但是由于所能获取到的攻击方的信息比较少以及和现有APT组织没有资产重叠,因此我们暂时无法将其归到特定的APT组织。这需要我们对该事件进行持续监控挖掘更多有价值信息,完善该事件的归属。
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/96393.html
