แคมเปญแมวในประเทศสอดแนมพลเมืองอิหร่านด้วยมัลแวร์ FurBall PlatoBlockchain Data Intelligence ใหม่ ค้นหาแนวตั้ง AI.

แคมเปญลูกแมวในประเทศสอดแนมชาวอิหร่านด้วยมัลแวร์ FurBall ใหม่

ประทับเวลา: 20 ตุลาคม 2022 5:30 น.

แคมเปญลูกแมวในประเทศของ APT-C-50 ยังคงดำเนินต่อไป โดยมุ่งเป้าไปที่ชาวอิหร่านด้วยเวอร์ชันใหม่ของมัลแวร์ FurBall ที่ปลอมแปลงเป็นแอปแปลภาษาของ Android

นักวิจัยของ ESET เพิ่งระบุ FurBall มัลแวร์ Android เวอร์ชันใหม่ที่ใช้ในแคมเปญลูกแมวในประเทศที่ดำเนินการโดยกลุ่ม APT-C-50 เป็นที่ทราบกันดีว่าแคมเปญลูกแมวในประเทศดำเนินการเฝ้าระวังมือถือกับพลเมืองอิหร่านและเวอร์ชัน FurBall ใหม่นี้ไม่แตกต่างกันในการกำหนดเป้าหมาย ตั้งแต่เดือนมิถุนายน พ.ศ. 2021 เป็นต้นมา ได้มีการเผยแพร่เป็นแอปแปลภาษาผ่านเว็บไซต์เลียนแบบของอิหร่านที่ให้บริการบทความ วารสาร และหนังสือแปล แอปที่เป็นอันตรายถูกอัปโหลดไปยัง VirusTotal ซึ่งทำให้เกิดกฎ YARA ของเรา (ใช้ในการจำแนกและระบุตัวอย่างมัลแวร์) ซึ่งทำให้เราสามารถวิเคราะห์ได้

FurBall เวอร์ชันนี้มีฟังก์ชันการเฝ้าระวังเหมือนกับเวอร์ชันก่อนหน้า อย่างไรก็ตาม ผู้คุกคามทำให้ชื่อคลาสและเมธอด สตริง บันทึก และ URI ของเซิร์ฟเวอร์สับสนเล็กน้อย การอัปเดตนี้จำเป็นต้องมีการเปลี่ยนแปลงเล็กน้อยบนเซิร์ฟเวอร์ C&C เช่นกัน นั่นคือชื่อของสคริปต์ PHP ฝั่งเซิร์ฟเวอร์ เนื่องจากฟังก์ชันของตัวแปรนี้ไม่มีการเปลี่ยนแปลง วัตถุประสงค์หลักของการอัปเดตนี้จึงดูเหมือนจะเพื่อหลีกเลี่ยงการตรวจจับโดยซอฟต์แวร์ความปลอดภัย การปรับเปลี่ยนเหล่านี้ไม่มีผลกับซอฟต์แวร์ ESET อย่างไรก็ตาม; ผลิตภัณฑ์ ESET ตรวจพบภัยคุกคามนี้เป็น Android/Spy.Agent.BWS

ตัวอย่างที่วิเคราะห์แล้วร้องขอการอนุญาตที่ล่วงล้ำเพียงครั้งเดียว – เพื่อเข้าถึงผู้ติดต่อ เหตุผลอาจเป็นจุดมุ่งหมายที่จะอยู่ภายใต้เรดาร์ ในทางกลับกัน เราคิดว่ามันอาจจะส่งสัญญาณว่าเป็นเพียงช่วงก่อนหน้าของการโจมตีแบบ spearphishing ที่ดำเนินการผ่านข้อความ หากผู้คุกคามขยายการอนุญาตของแอป ก็จะสามารถกรองข้อมูลประเภทอื่นๆ จากโทรศัพท์ที่ได้รับผลกระทบ เช่น ข้อความ SMS ตำแหน่งอุปกรณ์ การโทรที่บันทึกไว้ และอื่นๆ อีกมากมาย

ประเด็นสำคัญของบล็อกโพสต์นี้:

  • แคมเปญลูกแมวในประเทศกำลังดำเนินอยู่ ย้อนหลังไปอย่างน้อยปี 2016
  • ส่วนใหญ่กำหนดเป้าหมายชาวอิหร่าน
  • เราค้นพบตัวอย่าง Android Furball ใหม่ที่สับสนซึ่งใช้ในแคมเปญ
  • มันถูกแจกจ่ายโดยใช้เว็บไซต์เลียนแบบ
  • ตัวอย่างที่วิเคราะห์ได้เปิดใช้งานฟังก์ชันการสอดแนมที่จำกัดเท่านั้น เพื่อให้อยู่ภายใต้เรดาร์

ภาพรวมของลูกแมวในประเทศ

กลุ่ม APT-C-50 ในแคมเปญลูกแมวในประเทศได้ดำเนินการเฝ้าระวังมือถือกับพลเมืองอิหร่านตั้งแต่ปี 2016 ตามที่รายงานโดย Check Point ในปี 2018 ในปี 2019 เทรนด์ไมโคร ระบุแคมเปญที่เป็นอันตราย ซึ่งอาจเกี่ยวข้องกับลูกแมวในประเทศ โดยกำหนดเป้าหมายไปที่ตะวันออกกลาง โดยตั้งชื่อแคมเปญว่า "Bounceing Golf" หลังจากนั้นไม่นาน ในปีเดียวกัน เฉียนซิน รายงานแคมเปญลูกแมวในประเทศอีกครั้งโดยกำหนดเป้าหมายไปที่อิหร่าน ในปี 2020 360 Core Security เปิดเผยกิจกรรมการเฝ้าระวังของลูกแมวในประเทศที่กำหนดเป้าหมายกลุ่มต่อต้านรัฐบาลในตะวันออกกลาง รายงานที่เผยแพร่ต่อสาธารณะล่าสุดที่ทราบคือตั้งแต่ พ.ศ. 2021 โดย Check Point.

FurBall – มัลแวร์ Android ที่ใช้ในการดำเนินการนี้ตั้งแต่เริ่มแคมเปญ – สร้างขึ้นจากเครื่องมือสตอล์กเกอร์แวร์เชิงพาณิชย์ KidLogger ดูเหมือนว่านักพัฒนา FurBall จะได้รับแรงบันดาลใจจากเวอร์ชันโอเพ่นซอร์สเมื่อเจ็ดปีที่แล้วซึ่งมีอยู่ใน Github ตามที่ระบุโดย Check Point.

การกระจาย

แอปพลิเคชัน Android ที่เป็นอันตรายนี้ถูกส่งผ่านเว็บไซต์ปลอมที่เลียนแบบไซต์ที่ถูกต้องซึ่งมีบทความและหนังสือที่แปลจากภาษาอังกฤษเป็นภาษาเปอร์เซีย (ดาวน์โหลดmaghaleh.com). ตามข้อมูลการติดต่อจากเว็บไซต์ที่ถูกต้อง พวกเขาให้บริการนี้จากอิหร่าน ซึ่งทำให้เราเชื่อด้วยความมั่นใจอย่างสูงว่าเว็บไซต์ลอกเลียนแบบกำหนดเป้าหมายเป็นพลเมืองอิหร่าน จุดประสงค์ของการลอกเลียนแบบคือการเสนอแอพ Android สำหรับดาวน์โหลดหลังจากคลิกที่ปุ่มที่ระบุว่า "ดาวน์โหลดแอปพลิเคชัน" ในภาษาเปอร์เซีย ปุ่มมีโลโก้ Google Play แต่แอพนี้คือ ไม่ ได้จากร้านค้า Google Play; มันถูกดาวน์โหลดโดยตรงจากเซิร์ฟเวอร์ของผู้โจมตี แอปถูกอัปโหลดไปยัง VirusTotal ซึ่งทำให้เกิดกฎ YARA ข้อใดข้อหนึ่งของเรา

ในรูปที่ 1 คุณสามารถดูการเปรียบเทียบเว็บไซต์ปลอมและเว็บไซต์ที่ถูกต้องตามกฎหมาย

แคมเปญแมวในประเทศสอดแนมพลเมืองอิหร่านด้วยมัลแวร์ FurBall PlatoBlockchain Data Intelligence ใหม่ ค้นหาแนวตั้ง AI.

รูปที่ 1. เว็บไซต์ปลอม (ซ้าย) กับเว็บไซต์ที่ถูกกฎหมาย (ขวา)

อยู่บนพื้นฐานของ แก้ไขล่าสุด ข้อมูลที่มีอยู่ในไดเร็กทอรีเปิดของการดาวน์โหลด APK บนเว็บไซต์ปลอม (ดูรูปที่ 2) เราสามารถสรุปได้ว่าแอพนี้สามารถดาวน์โหลดได้อย่างน้อยตั้งแต่วันที่ 21 มิถุนายนst, 2021

รูปที่ 2. เปิดข้อมูลไดเร็กทอรีสำหรับแอพที่เป็นอันตราย

การวิเคราะห์

ตัวอย่างนี้ไม่ใช่มัลแวร์ที่ทำงานได้อย่างสมบูรณ์ แม้ว่าจะมีการใช้งานฟังก์ชันสปายแวร์ทั้งหมดเหมือนในเวอร์ชันก่อนหน้า ฟังก์ชันสปายแวร์บางฟังก์ชันไม่สามารถดำเนินการได้ เนื่องจากแอปถูกจำกัดโดยสิทธิ์ที่กำหนดไว้ใน AndroidManifest.xml. หากผู้คุกคามขยายการอนุญาตของแอพ มันก็จะสามารถกรองข้อมูลได้:

  • ข้อความจากคลิปบอร์ด
  • ตำแหน่งอุปกรณ์,
  • ข้อความ SMS,
  • ติดต่อ
  • บันทึกการโทร
  • บันทึกการโทร,
  • ข้อความของการแจ้งเตือนทั้งหมดจากแอพอื่น
  • บัญชีอุปกรณ์
  • รายการไฟล์ในเครื่อง
  • แอพที่ทำงานอยู่,
  • รายการแอพที่ติดตั้งและ
  • ข้อมูลอุปกรณ์.

นอกจากนี้ยังสามารถรับคำสั่งถ่ายภาพและบันทึกวิดีโอ โดยผลลัพธ์จะถูกอัปโหลดไปยังเซิร์ฟเวอร์ C&C ตัวแปร Furball ที่ดาวน์โหลดจากเว็บไซต์ copycat ยังคงสามารถรับคำสั่งจาก C&C ได้ อย่างไรก็ตาม มันสามารถทำหน้าที่เหล่านี้ได้เท่านั้น:

  • คัดแยกรายชื่อผู้ติดต่อ
  • รับไฟล์ที่สามารถเข้าถึงได้จากที่จัดเก็บข้อมูลภายนอก
  • รายการแอพที่ติดตั้ง
  • รับข้อมูลพื้นฐานเกี่ยวกับอุปกรณ์และ
  • รับบัญชีอุปกรณ์ (รายการบัญชีผู้ใช้ที่ซิงค์กับอุปกรณ์)

รูปที่ 3 แสดงคำขออนุญาตที่ผู้ใช้ต้องยอมรับ สิทธิ์เหล่านี้อาจไม่สร้างความรู้สึกว่าเป็นแอปสปายแวร์ โดยเฉพาะอย่างยิ่งเมื่อพิจารณาว่าเป็นแอปแปลภาษา

แคมเปญแมวในประเทศสอดแนมพลเมืองอิหร่านด้วยมัลแวร์ FurBall PlatoBlockchain Data Intelligence ใหม่ ค้นหาแนวตั้ง AI.

รูปที่ 3 รายการการอนุญาตที่ร้องขอ

หลังการติดตั้ง Furball จะส่งคำขอ HTTP ไปยังเซิร์ฟเวอร์ C&C ทุก 10 วินาที เพื่อขอคำสั่งเพื่อดำเนินการดังที่เห็นในแผงด้านบนของรูปที่ 4 แผงด้านล่างแสดงการตอบสนอง "ขณะนี้ไม่มีอะไรทำ" จาก เซิร์ฟเวอร์ C&C

แคมเปญแมวในประเทศสอดแนมพลเมืองอิหร่านด้วยมัลแวร์ FurBall PlatoBlockchain Data Intelligence ใหม่ ค้นหาแนวตั้ง AI.

รูปที่ 4. การสื่อสารกับเซิร์ฟเวอร์ C&C

ตัวอย่างล่าสุดเหล่านี้ไม่มีคุณลักษณะใหม่ที่ถูกนำไปใช้ ยกเว้นความจริงที่ว่าโค้ดมีการใช้การทำให้งงงวยอย่างง่าย Obfuscation สามารถพบได้ในชื่อคลาส ชื่อเมธอด สตริง บันทึก และพาธ URI ของเซิร์ฟเวอร์ (ซึ่งจะต้องมีการเปลี่ยนแปลงเล็กน้อยในแบ็กเอนด์ด้วย) รูปที่ 5 เปรียบเทียบชื่อคลาสของ Furball รุ่นเก่ากับเวอร์ชันใหม่พร้อมความสับสน

แคมเปญแมวในประเทศสอดแนมพลเมืองอิหร่านด้วยมัลแวร์ FurBall PlatoBlockchain Data Intelligence ใหม่ ค้นหาแนวตั้ง AI.

รูปที่ 5. การเปรียบเทียบชื่อคลาสของเวอร์ชั่นเก่า (ซ้าย) และเวอร์ชั่นใหม่ (ขวา)

รูปที่ 6 และรูปที่ 7 แสดงก่อนหน้านี้ ส่งโพสต์ และใหม่ sndPst เน้นถึงการเปลี่ยนแปลงที่จำเป็นต่อการทำให้งงงวยนี้

แคมเปญแมวในประเทศสอดแนมพลเมืองอิหร่านด้วยมัลแวร์ FurBall PlatoBlockchain Data Intelligence ใหม่ ค้นหาแนวตั้ง AI.

รูปที่ 6 เวอร์ชันเก่ากว่าของโค้ดที่ไม่สับสน

แคมเปญแมวในประเทศสอดแนมพลเมืองอิหร่านด้วยมัลแวร์ FurBall PlatoBlockchain Data Intelligence ใหม่ ค้นหาแนวตั้ง AI.

รูปที่ 7. รหัส obfuscation ล่าสุด

การเปลี่ยนแปลงเบื้องต้นเหล่านี้เนื่องจากการทำให้งงง่าย ๆ นี้ ส่งผลให้มีการตรวจหา VirusTotal น้อยลง เราเปรียบเทียบอัตราการตรวจจับของตัวอย่างที่ค้นพบโดย Check Point ตั้งแต่เดือนกุมภาพันธ์ พ.ศ. 2021 (รูปที่ 8) โดยมีเวอร์ชันที่คลุมเครือตั้งแต่มิถุนายน พ.ศ. 2021 (ภาพที่ 9)

แคมเปญแมวในประเทศสอดแนมพลเมืองอิหร่านด้วยมัลแวร์ FurBall PlatoBlockchain Data Intelligence ใหม่ ค้นหาแนวตั้ง AI.

รูปที่ 8 เวอร์ชั่นที่ไม่ทำให้เกิดความสับสนของมัลแวร์ที่ตรวจพบโดยเครื่องยนต์ 28/64

แคมเปญแมวในประเทศสอดแนมพลเมืองอิหร่านด้วยมัลแวร์ FurBall PlatoBlockchain Data Intelligence ใหม่ ค้นหาแนวตั้ง AI.

รูปที่ 9 เวอร์ชั่น Obfuscated ของมัลแวร์ที่ตรวจพบโดยเอ็นจิ้น 4/63 เมื่ออัพโหลดครั้งแรกไปยัง VirusTotal

สรุป

แคมเปญลูกแมวในประเทศยังคงใช้งานอยู่ โดยใช้เว็บไซต์เลียนแบบเพื่อกำหนดเป้าหมายชาวอิหร่าน เป้าหมายของโอเปอเรเตอร์เปลี่ยนไปเล็กน้อยจากการกระจายสปายแวร์ Android ที่มีคุณสมบัติครบถ้วนไปเป็นเวอร์ชันที่เบากว่า ดังที่อธิบายไว้ข้างต้น โดยจะขออนุญาตที่ล่วงล้ำเพียงครั้งเดียวเท่านั้น เพื่อเข้าถึงผู้ติดต่อ ซึ่งมักจะอยู่ภายใต้เรดาร์และไม่ดึงดูดความสงสัยของผู้ที่อาจตกเป็นเหยื่อในระหว่างกระบวนการติดตั้ง นี่อาจเป็นขั้นตอนแรกของการรวบรวมผู้ติดต่อที่อาจตามมาด้วยการหลอกลวงทางข้อความ

นอกเหนือจากการลดการทำงานของแอปที่ทำงานอยู่ ผู้เขียนมัลแวร์ยังพยายามลดจำนวนการตรวจจับโดยใช้รูปแบบโค้ดที่สร้างความสับสนอย่างง่าย ๆ เพื่อซ่อนความตั้งใจของพวกเขาจากซอฟต์แวร์รักษาความปลอดภัยมือถือ

หากมีข้อสงสัยเกี่ยวกับงานวิจัยของเราที่เผยแพร่บน WeLiveSecurity โปรดติดต่อเราที่ Threatintel@eset.com.

ESET Research ยังมีรายงานข่าวกรอง APT ส่วนตัวและฟีดข้อมูล หากมีข้อสงสัยเกี่ยวกับบริการนี้ โปรดไปที่ ESET ภัยคุกคามอัจฉริยะ หน้า.

ไอโอซี

SHA-1 ชื่อแพคเกจ ชื่อการตรวจจับ ESET รายละเอียด
BF482E86D512DA46126F0E61733BCA4352620176 com.getdoc.freepaaper.dissertation Android/Spy.Agent.BWS มัลแวร์แอบอ้างแอป سرای مقاله (แปล: Article House)

เทคนิค MITER ATT&CK

ตารางนี้ถูกสร้างขึ้นโดยใช้ 10 รุ่น ของกรอบงาน ATT&CK

ชั้นเชิง ID Name รายละเอียด
การเข้าถึงเบื้องต้น T1476 ส่งแอปที่เป็นอันตรายด้วยวิธีอื่น FurBall จัดส่งผ่านลิงก์ดาวน์โหลดโดยตรงหลังปุ่ม Google Play ปลอม
T1444 ปลอมตัวเป็นแอปพลิเคชันที่ชอบด้วยกฎหมาย เว็บไซต์ Copycat มีลิงค์สำหรับดาวน์โหลด FurBall
การติดตา T1402 เครื่องรับการออกอากาศ FurBall ได้รับ BOOT_เสร็จสมบูรณ์ เจตนาออกอากาศเพื่อเปิดใช้งานเมื่อเริ่มต้นอุปกรณ์
การค้นพบ T1418 การค้นพบแอปพลิเคชัน FurBall สามารถรับรายการแอพพลิเคชั่นที่ติดตั้ง
T1426 การค้นพบข้อมูลระบบ FurBall สามารถดึงข้อมูลเกี่ยวกับอุปกรณ์รวมถึงประเภทอุปกรณ์ เวอร์ชันของระบบปฏิบัติการ และ ID เฉพาะ
ชุด T1432 เข้าถึงรายชื่อผู้ติดต่อ FurBall สามารถดึงรายชื่อผู้ติดต่อของเหยื่อได้
T1533 ข้อมูลจาก Local System FurBall สามารถดึงไฟล์ที่สามารถเข้าถึงได้จากที่จัดเก็บข้อมูลภายนอก
ควบคุมและสั่งการ T1436 พอร์ตที่ใช้กันทั่วไป FurBall สื่อสารกับเซิร์ฟเวอร์ C&C โดยใช้โปรโตคอล HTTP
การกรอง T1437 โปรโตคอลเลเยอร์แอปพลิเคชันมาตรฐาน FurBall กรองข้อมูลที่เก็บรวบรวมผ่านโปรโตคอล HTTP มาตรฐาน

แคมเปญแมวในประเทศสอดแนมพลเมืองอิหร่านด้วยมัลแวร์ FurBall PlatoBlockchain Data Intelligence ใหม่ ค้นหาแนวตั้ง AI.

ประทับเวลา:

เพิ่มเติมจาก เราอยู่การรักษาความปลอดภัย