IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

双尾蝎组织(APT-C-23):伸向巴以两国的毒针

发布时间:2017-03-18 16:58文章来源:互联网文章作者: 佚名点击次数:
双尾蝎组织(APT-C-23):伸向巴以两国的毒针。2016 年 5 月起至今,双尾蝎组织(APT-C-23)对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。 攻击平台主要包括 Windows 与 Android,攻击范围主要为中东地区,截至

双尾蝎组织(APT-C-23):伸向巴以两国的毒针。2016 年 5 月起至今,双尾蝎组织(APT-C-23)对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。

攻击平台主要包括 Windows 与 Android,攻击范围主要为中东地区,截至目前我们一共捕获了 Android 样本 24 个,Windows 样本 19 个,涉及的 C&C 域名 29 个。

\

后门程序主要伪装成文档、播放器、聊天软件以及一些特定领域常用软件,通过鱼叉或水坑等攻击方式配合社会工程学手段进行渗透,向特定目标人群进行攻击。

相关恶意可执行程序多为“.exe”和“.scr”扩展名,但是这些程序都伪装成 doc、xls 文档图标,并且文件中还包含一些用以迷惑用户的文档。

攻击者在诱饵文档命名时也颇为讲究,如“ةزهجلاا ةي ن ملاا”(安全服务)、“Egyptian Belly Dancer Dina Scandal, Free Porn”(肚皮舞者 Dina 丑闻,色情),此类文件名容易诱惑用户点击。

Android 端后门程序功能主要包括定位、短信拦截、电话录音等,并且还会收集文档、图片、联系人、短信等情报信息;PC 端后门程序功能包括收集用户信息上传到指定服务器、远程下载文件以及远控。

通过相关信息的分析,发现该组织极有可能来自中东。

第一章 概述

2016 年 5 月起至今,双尾蝎组织(APT-C-23)对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台包括 Windows 与 Android,攻击范围主要为中东地区,截至目前我们一共捕获了 Android 样本 24 个,Windows 样本 19 个,涉及的 C&C 域名29 个。

2016 年 5 月,我们捕获了第一个 Android 平台下的相关特种木马,在此后的半年中,我们又先后捕获了与该组织相关的不同形态的特种木马程序样本数十个。并且在 2016 年 7 月开始捕获到 Windows 系统的相关木马程序。该木马主要伪装成文档、播放器、聊天软件以及一些特定领域常用软件,通过鱼叉或水坑等攻击方式配合社会工程学手段进行渗透,向特定目标人群进行攻击。入侵成功后攻击者开始窃取目标系统中的各类文档资料并且进行实时监控。

360 威胁情报中心将 APT-C-23 组织命名为双尾蝎,主要是考虑了以下几方面的因素:一是该组织同时攻击了巴勒斯坦和以色列这两个存在一定敌对关系的国家,这种情况在以往并不多见;二是该组织同时在 Windows 和Android 两种平台上发动攻击。虽然以往我们截获的 APT 组织中也有一些进行多平台攻击的例子,如海莲花,但绝大多数 APT 组织攻击的重心仍然是 Windows 平台。而同时注重两种平台,并且在 Android 平台上攻击如此活跃的 APT 组织,在以往并不多见。第三个原因就是蝎子在巴以地区是一种比较有代表性的动物。综上,根据 360 威胁情报中心对 APT 组织的命名规则(参见《2016 年中国高级持续性威胁研究报告》),我们命名 APT-C-23 组织为“双尾蝎”。

第二章 受影响情况

本章主要对相关攻击行动所针对目标涉及的地域和行业进行相关统计分析,时间范围选择 2016 年 5 月 1 日到至今。

一、地域分布

双尾蝎行动主要针对目标为巴勒斯坦,占比高达 84.8%,其次是以色列,占 8.1%,分布如图 1 所示。

\

图 1 受影响地域分布

二、领域分布
双尾蝎组织(APT-C-23):伸向巴以两国的毒针
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/diannao/wangluo/803016.html

标签分类:

上一篇:上一篇:Github企业版远程代码执行漏洞分析
下一篇: 下一篇:没有了
无觅关联推荐,快速提升流量