แคมเปญลูกแมวในประเทศของ APT-C-50 ยังคงดำเนินต่อไป โดยมุ่งเป้าไปที่ชาวอิหร่านด้วยเวอร์ชันใหม่ของมัลแวร์ FurBall ที่ปลอมแปลงเป็นแอปแปลภาษาของ Android
นักวิจัยของ ESET เพิ่งระบุ FurBall มัลแวร์ Android เวอร์ชันใหม่ที่ใช้ในแคมเปญลูกแมวในประเทศที่ดำเนินการโดยกลุ่ม APT-C-50 เป็นที่ทราบกันดีว่าแคมเปญลูกแมวในประเทศดำเนินการเฝ้าระวังมือถือกับพลเมืองอิหร่านและเวอร์ชัน FurBall ใหม่นี้ไม่แตกต่างกันในการกำหนดเป้าหมาย ตั้งแต่เดือนมิถุนายน พ.ศ. 2021 เป็นต้นมา ได้มีการเผยแพร่เป็นแอปแปลภาษาผ่านเว็บไซต์เลียนแบบของอิหร่านที่ให้บริการบทความ วารสาร และหนังสือแปล แอปที่เป็นอันตรายถูกอัปโหลดไปยัง VirusTotal ซึ่งทำให้เกิดกฎ YARA ของเรา (ใช้ในการจำแนกและระบุตัวอย่างมัลแวร์) ซึ่งทำให้เราสามารถวิเคราะห์ได้
FurBall เวอร์ชันนี้มีฟังก์ชันการเฝ้าระวังเหมือนกับเวอร์ชันก่อนหน้า อย่างไรก็ตาม ผู้คุกคามทำให้ชื่อคลาสและเมธอด สตริง บันทึก และ URI ของเซิร์ฟเวอร์สับสนเล็กน้อย การอัปเดตนี้จำเป็นต้องมีการเปลี่ยนแปลงเล็กน้อยบนเซิร์ฟเวอร์ C&C เช่นกัน นั่นคือชื่อของสคริปต์ PHP ฝั่งเซิร์ฟเวอร์ เนื่องจากฟังก์ชันของตัวแปรนี้ไม่มีการเปลี่ยนแปลง วัตถุประสงค์หลักของการอัปเดตนี้จึงดูเหมือนจะเพื่อหลีกเลี่ยงการตรวจจับโดยซอฟต์แวร์ความปลอดภัย การปรับเปลี่ยนเหล่านี้ไม่มีผลกับซอฟต์แวร์ ESET อย่างไรก็ตาม; ผลิตภัณฑ์ ESET ตรวจพบภัยคุกคามนี้เป็น Android/Spy.Agent.BWS
ตัวอย่างที่วิเคราะห์แล้วร้องขอการอนุญาตที่ล่วงล้ำเพียงครั้งเดียว – เพื่อเข้าถึงผู้ติดต่อ เหตุผลอาจเป็นจุดมุ่งหมายที่จะอยู่ภายใต้เรดาร์ ในทางกลับกัน เราคิดว่ามันอาจจะส่งสัญญาณว่าเป็นเพียงช่วงก่อนหน้าของการโจมตีแบบ spearphishing ที่ดำเนินการผ่านข้อความ หากผู้คุกคามขยายการอนุญาตของแอป ก็จะสามารถกรองข้อมูลประเภทอื่นๆ จากโทรศัพท์ที่ได้รับผลกระทบ เช่น ข้อความ SMS ตำแหน่งอุปกรณ์ การโทรที่บันทึกไว้ และอื่นๆ อีกมากมาย
- แคมเปญลูกแมวในประเทศกำลังดำเนินอยู่ ย้อนหลังไปอย่างน้อยปี 2016
- ส่วนใหญ่กำหนดเป้าหมายชาวอิหร่าน
- เราค้นพบตัวอย่าง Android Furball ใหม่ที่สับสนซึ่งใช้ในแคมเปญ
- มันถูกแจกจ่ายโดยใช้เว็บไซต์เลียนแบบ
- ตัวอย่างที่วิเคราะห์ได้เปิดใช้งานฟังก์ชันการสอดแนมที่จำกัดเท่านั้น เพื่อให้อยู่ภายใต้เรดาร์
ภาพรวมของลูกแมวในประเทศ
กลุ่ม APT-C-50 ในแคมเปญลูกแมวในประเทศได้ดำเนินการเฝ้าระวังมือถือกับพลเมืองอิหร่านตั้งแต่ปี 2016 ตามที่รายงานโดย Check Point ในปี 2018 ในปี 2019 เทรนด์ไมโคร ระบุแคมเปญที่เป็นอันตราย ซึ่งอาจเกี่ยวข้องกับลูกแมวในประเทศ โดยกำหนดเป้าหมายไปที่ตะวันออกกลาง โดยตั้งชื่อแคมเปญว่า "Bounceing Golf" หลังจากนั้นไม่นาน ในปีเดียวกัน เฉียนซิน รายงานแคมเปญลูกแมวในประเทศอีกครั้งโดยกำหนดเป้าหมายไปที่อิหร่าน ในปี 2020 360 Core Security เปิดเผยกิจกรรมการเฝ้าระวังของลูกแมวในประเทศที่กำหนดเป้าหมายกลุ่มต่อต้านรัฐบาลในตะวันออกกลาง รายงานที่เผยแพร่ต่อสาธารณะล่าสุดที่ทราบคือตั้งแต่ พ.ศ. 2021 โดย Check Point.
FurBall – มัลแวร์ Android ที่ใช้ในการดำเนินการนี้ตั้งแต่เริ่มแคมเปญ – สร้างขึ้นจากเครื่องมือสตอล์กเกอร์แวร์เชิงพาณิชย์ KidLogger ดูเหมือนว่านักพัฒนา FurBall จะได้รับแรงบันดาลใจจากเวอร์ชันโอเพ่นซอร์สเมื่อเจ็ดปีที่แล้วซึ่งมีอยู่ใน Github ตามที่ระบุโดย Check Point.
การกระจาย
แอปพลิเคชัน Android ที่เป็นอันตรายนี้ถูกส่งผ่านเว็บไซต์ปลอมที่เลียนแบบไซต์ที่ถูกต้องซึ่งมีบทความและหนังสือที่แปลจากภาษาอังกฤษเป็นภาษาเปอร์เซีย (ดาวน์โหลดmaghaleh.com). ตามข้อมูลการติดต่อจากเว็บไซต์ที่ถูกต้อง พวกเขาให้บริการนี้จากอิหร่าน ซึ่งทำให้เราเชื่อด้วยความมั่นใจอย่างสูงว่าเว็บไซต์ลอกเลียนแบบกำหนดเป้าหมายเป็นพลเมืองอิหร่าน จุดประสงค์ของการลอกเลียนแบบคือการเสนอแอพ Android สำหรับดาวน์โหลดหลังจากคลิกที่ปุ่มที่ระบุว่า "ดาวน์โหลดแอปพลิเคชัน" ในภาษาเปอร์เซีย ปุ่มมีโลโก้ Google Play แต่แอพนี้คือ ไม่ ได้จากร้านค้า Google Play; มันถูกดาวน์โหลดโดยตรงจากเซิร์ฟเวอร์ของผู้โจมตี แอปถูกอัปโหลดไปยัง VirusTotal ซึ่งทำให้เกิดกฎ YARA ข้อใดข้อหนึ่งของเรา
ในรูปที่ 1 คุณสามารถดูการเปรียบเทียบเว็บไซต์ปลอมและเว็บไซต์ที่ถูกต้องตามกฎหมาย
อยู่บนพื้นฐานของ แก้ไขล่าสุด ข้อมูลที่มีอยู่ในไดเร็กทอรีเปิดของการดาวน์โหลด APK บนเว็บไซต์ปลอม (ดูรูปที่ 2) เราสามารถสรุปได้ว่าแอพนี้สามารถดาวน์โหลดได้อย่างน้อยตั้งแต่วันที่ 21 มิถุนายนst, 2021
การวิเคราะห์
ตัวอย่างนี้ไม่ใช่มัลแวร์ที่ทำงานได้อย่างสมบูรณ์ แม้ว่าจะมีการใช้งานฟังก์ชันสปายแวร์ทั้งหมดเหมือนในเวอร์ชันก่อนหน้า ฟังก์ชันสปายแวร์บางฟังก์ชันไม่สามารถดำเนินการได้ เนื่องจากแอปถูกจำกัดโดยสิทธิ์ที่กำหนดไว้ใน AndroidManifest.xml. หากผู้คุกคามขยายการอนุญาตของแอพ มันก็จะสามารถกรองข้อมูลได้:
- ข้อความจากคลิปบอร์ด
- ตำแหน่งอุปกรณ์,
- ข้อความ SMS,
- ติดต่อ
- บันทึกการโทร
- บันทึกการโทร,
- ข้อความของการแจ้งเตือนทั้งหมดจากแอพอื่น
- บัญชีอุปกรณ์
- รายการไฟล์ในเครื่อง
- แอพที่ทำงานอยู่,
- รายการแอพที่ติดตั้งและ
- ข้อมูลอุปกรณ์.
นอกจากนี้ยังสามารถรับคำสั่งถ่ายภาพและบันทึกวิดีโอ โดยผลลัพธ์จะถูกอัปโหลดไปยังเซิร์ฟเวอร์ C&C ตัวแปร Furball ที่ดาวน์โหลดจากเว็บไซต์ copycat ยังคงสามารถรับคำสั่งจาก C&C ได้ อย่างไรก็ตาม มันสามารถทำหน้าที่เหล่านี้ได้เท่านั้น:
- คัดแยกรายชื่อผู้ติดต่อ
- รับไฟล์ที่สามารถเข้าถึงได้จากที่จัดเก็บข้อมูลภายนอก
- รายการแอพที่ติดตั้ง
- รับข้อมูลพื้นฐานเกี่ยวกับอุปกรณ์และ
- รับบัญชีอุปกรณ์ (รายการบัญชีผู้ใช้ที่ซิงค์กับอุปกรณ์)
รูปที่ 3 แสดงคำขออนุญาตที่ผู้ใช้ต้องยอมรับ สิทธิ์เหล่านี้อาจไม่สร้างความรู้สึกว่าเป็นแอปสปายแวร์ โดยเฉพาะอย่างยิ่งเมื่อพิจารณาว่าเป็นแอปแปลภาษา
หลังการติดตั้ง Furball จะส่งคำขอ HTTP ไปยังเซิร์ฟเวอร์ C&C ทุก 10 วินาที เพื่อขอคำสั่งเพื่อดำเนินการดังที่เห็นในแผงด้านบนของรูปที่ 4 แผงด้านล่างแสดงการตอบสนอง "ขณะนี้ไม่มีอะไรทำ" จาก เซิร์ฟเวอร์ C&C
ตัวอย่างล่าสุดเหล่านี้ไม่มีคุณลักษณะใหม่ที่ถูกนำไปใช้ ยกเว้นความจริงที่ว่าโค้ดมีการใช้การทำให้งงงวยอย่างง่าย Obfuscation สามารถพบได้ในชื่อคลาส ชื่อเมธอด สตริง บันทึก และพาธ URI ของเซิร์ฟเวอร์ (ซึ่งจะต้องมีการเปลี่ยนแปลงเล็กน้อยในแบ็กเอนด์ด้วย) รูปที่ 5 เปรียบเทียบชื่อคลาสของ Furball รุ่นเก่ากับเวอร์ชันใหม่พร้อมความสับสน
รูปที่ 6 และรูปที่ 7 แสดงก่อนหน้านี้ ส่งโพสต์ และใหม่ sndPst เน้นถึงการเปลี่ยนแปลงที่จำเป็นต่อการทำให้งงงวยนี้
การเปลี่ยนแปลงเบื้องต้นเหล่านี้เนื่องจากการทำให้งงง่าย ๆ นี้ ส่งผลให้มีการตรวจหา VirusTotal น้อยลง เราเปรียบเทียบอัตราการตรวจจับของตัวอย่างที่ค้นพบโดย Check Point ตั้งแต่เดือนกุมภาพันธ์ พ.ศ. 2021 (รูปที่ 8) โดยมีเวอร์ชันที่คลุมเครือตั้งแต่มิถุนายน พ.ศ. 2021 (ภาพที่ 9)
สรุป
แคมเปญลูกแมวในประเทศยังคงใช้งานอยู่ โดยใช้เว็บไซต์เลียนแบบเพื่อกำหนดเป้าหมายชาวอิหร่าน เป้าหมายของโอเปอเรเตอร์เปลี่ยนไปเล็กน้อยจากการกระจายสปายแวร์ Android ที่มีคุณสมบัติครบถ้วนไปเป็นเวอร์ชันที่เบากว่า ดังที่อธิบายไว้ข้างต้น โดยจะขออนุญาตที่ล่วงล้ำเพียงครั้งเดียวเท่านั้น เพื่อเข้าถึงผู้ติดต่อ ซึ่งมักจะอยู่ภายใต้เรดาร์และไม่ดึงดูดความสงสัยของผู้ที่อาจตกเป็นเหยื่อในระหว่างกระบวนการติดตั้ง นี่อาจเป็นขั้นตอนแรกของการรวบรวมผู้ติดต่อที่อาจตามมาด้วยการหลอกลวงทางข้อความ
นอกเหนือจากการลดการทำงานของแอปที่ทำงานอยู่ ผู้เขียนมัลแวร์ยังพยายามลดจำนวนการตรวจจับโดยใช้รูปแบบโค้ดที่สร้างความสับสนอย่างง่าย ๆ เพื่อซ่อนความตั้งใจของพวกเขาจากซอฟต์แวร์รักษาความปลอดภัยมือถือ
ESET Research ยังมีรายงานข่าวกรอง APT ส่วนตัวและฟีดข้อมูล หากมีข้อสงสัยเกี่ยวกับบริการนี้ โปรดไปที่ ESET ภัยคุกคามอัจฉริยะ หน้า.
ไอโอซี
SHA-1 | ชื่อแพคเกจ | ชื่อการตรวจจับ ESET | รายละเอียด |
---|---|---|---|
BF482E86D512DA46126F0E61733BCA4352620176 | com.getdoc.freepaaper.dissertation | Android/Spy.Agent.BWS | มัลแวร์แอบอ้างแอป سرای مقاله (แปล: Article House) |
เทคนิค MITER ATT&CK
ตารางนี้ถูกสร้างขึ้นโดยใช้ 10 รุ่น ของกรอบงาน ATT&CK
ชั้นเชิง | ID | Name | รายละเอียด |
---|---|---|---|
การเข้าถึงเบื้องต้น | T1476 | ส่งแอปที่เป็นอันตรายด้วยวิธีอื่น | FurBall จัดส่งผ่านลิงก์ดาวน์โหลดโดยตรงหลังปุ่ม Google Play ปลอม |
T1444 | ปลอมตัวเป็นแอปพลิเคชันที่ชอบด้วยกฎหมาย | เว็บไซต์ Copycat มีลิงค์สำหรับดาวน์โหลด FurBall | |
การติดตา | T1402 | เครื่องรับการออกอากาศ | FurBall ได้รับ BOOT_เสร็จสมบูรณ์ เจตนาออกอากาศเพื่อเปิดใช้งานเมื่อเริ่มต้นอุปกรณ์ |
การค้นพบ | T1418 | การค้นพบแอปพลิเคชัน | FurBall สามารถรับรายการแอพพลิเคชั่นที่ติดตั้ง |
T1426 | การค้นพบข้อมูลระบบ | FurBall สามารถดึงข้อมูลเกี่ยวกับอุปกรณ์รวมถึงประเภทอุปกรณ์ เวอร์ชันของระบบปฏิบัติการ และ ID เฉพาะ | |
ชุด | T1432 | เข้าถึงรายชื่อผู้ติดต่อ | FurBall สามารถดึงรายชื่อผู้ติดต่อของเหยื่อได้ |
T1533 | ข้อมูลจาก Local System | FurBall สามารถดึงไฟล์ที่สามารถเข้าถึงได้จากที่จัดเก็บข้อมูลภายนอก | |
ควบคุมและสั่งการ | T1436 | พอร์ตที่ใช้กันทั่วไป | FurBall สื่อสารกับเซิร์ฟเวอร์ C&C โดยใช้โปรโตคอล HTTP |
การกรอง | T1437 | โปรโตคอลเลเยอร์แอปพลิเคชันมาตรฐาน | FurBall กรองข้อมูลที่เก็บรวบรวมผ่านโปรโตคอล HTTP มาตรฐาน |
- blockchain
- เหรียญอัจฉริยะ
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- การวิจัย ESET
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- เราอยู่การรักษาความปลอดภัย
- ความปลอดภัยของเว็บไซต์
- ลมทะเล