官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
近日,趋势科技披露 APT 组织 StrongPity 通过被攻陷的叙利亚电子政务门户网站部署分发安卓恶意软件。
趋势科技表示,这是 StrongPity 组织首次被发现使用安卓恶意软件作为攻击向量。
StrongPity 被微软称作 Promethium,自 2012 年以来一直活动频繁,该组织通常专注于攻击土耳其和叙利亚的目标。2020 年 6 月,攻击者利用水坑攻击部署篡改后的安装程序,假冒流行的合法应用程序,使用恶意软件来感染目标。
思科表示 StrongPity 组织非常富有韧性,尽管攻击行动被多次披露曝光,但他们仍然没有停下脚步。而且,该组织在被披露后也丝毫不克制,立刻就会开展新的攻击活动,足见其决心之大和行动力之强。
这次的攻击行动也与前述类似,攻击者将良性应用程序重新打包成木马进行攻击。
该恶意软件伪装成叙利亚电子政务应用程序。在 2021 年 5 月创建,根据程序看到攻击者请求了额外的权限,例如读取联系人列表、写入外部存储、保持设备唤醒、获取精确位置甚至允许程序自启动。
该恶意软件旨在后台长时间潜伏执行,而 C&C 服务器下发加密的 Payload 来进行其他操作。该程序还可以根据 C&C 服务器的指令对 C&C 服务器地址进行更新。
高度模块化的恶意程序能够回传在失陷设备上的数据,例如联系人信息、Office 文档、PDF 文档、图片、密钥等,这些文件都会被送回 C&C 服务器。
尽管 StrongPity 此前没有被公开披露使用过安卓恶意软件,但趋势科技根据 C&C 服务器的域名命名模式与此前被 StrongPity 用于其他入侵行为进行了归因。AT&T 在 2019 年 7 月发现该组织利用被篡改的 WinBox 路由器管理软件、WinRAR 和其他受信任的程序来对目标进行攻击。
研究人员表示,攻击者可能在探索多种攻击方式。例如使用虚假的应用程序和失陷网站作为水坑诱骗用户安装恶意应用程序。通常,这些网站会要求用户通过网站直接进行下载,要求用户信任“未知来源”安装的应用程序。这样就绕过了安卓系统的信任链,使攻击者可以进行恶意软件的传播。