close
Bahamut

Bahamut是一個針對中東和南亞的高級威脅組織,其於2017年被Bellingcat披露並命名,隨後BlackBerry又對該組織進行了詳細全面的分析,並認為該組織屬於網絡攻擊僱傭軍。Bahamut組織主要使用釣魚網站、假新聞網站、社交網站進行攻擊。

近期,我們觀察到疑似該組織的移動端攻擊活動,本次攻擊活動開始於1月份,使用釣魚網站投遞移動RAT樣本。攻擊使用的RAT屬於未被披露過的新家族,我們推測屬於該組織的特有攻擊武器。

1. 載荷投遞

我們監控到該組織使用其慣用的攻擊手法——釣魚網站進行載荷的投遞。釣魚網站偽裝成安全聊天軟件的介紹頁面,並提供Android端軟件的下載鏈接。通過釣魚網站的域名和證書信息,可以知道此次攻擊活動開始於2022年1月初,並且至今仍然活躍。

圖1 釣魚頁面

圖2 網站證書有效期

2. 樣本分析

樣本基本信息如下:

MD5

文件名

包名

ed43605e6d85c7eab473c30ec1b2271a

securechatnow_v1_0_7.apk

com.example.chatapplication

本次攻擊活動中使用的樣本為具備遠控功能的聊天軟件,聊天功能和遠控功能單獨開發。聊天功能的服務器地址和遠控功能的C&C使用的是同一個地址。鑑於聊天和遠控使用的同一個C&C地址,以及我們並沒有在野外發現與此聊天功能和遠控功能相似的開源或公開的源代碼,因此我們猜測該樣本為獨立開發的攻擊武器。截止目前,該樣本還未被其它安全廠商識別。

圖3 應用運行截圖

圖4 聊天和遠控功能的網絡配置

樣本的遠控功能代碼主要在com.example.chatapplication.monitoring包中,惡意代碼高度模塊化編寫質量高,使用數據庫存儲各類信息。除了竊取短信、聯繫人、通話記錄等常見用戶隱私信息外,還會藉助輔助功能重點竊取大量知名社交軟件的聊天信息。

圖5 惡意包結構

相關的指令和對應功能如下:

指令

功能

whatsapp

獲取whatsapp數據

telegram

獲取telegram數據

imo

獲取imo數據

viber

獲取viber數據

messenger

獲取facebook數據

conion

獲取conion數據

signal

獲取signal數據

info

上傳文件或更新操作

callLogs

獲取通話記錄

contacts

獲取聯繫人

protectedText

竊取文本消息

liveInfos

獲取實時位置

fileListing

獲取文件列表

smsLogs

獲取短信

3. 溯源和歸屬

根據同家族樣本的簽名信息,我們關聯到了一個疑似歸屬於Bahamut組織的樣本,該疑似樣本和本次分析樣本的C&C格式極其相似,都是使用的數字和字母的隨機組合字符串,都存在一個包含相同路徑(/auth/login)的URL,該URL地址顯示的是相同的登錄頁面。並且該疑似樣本的同家族樣本中,存在兩個下載地址是jamaat-ul-islam.com的樣本,而該下載地址曾於2020年被Blackbarry披露且歸屬於Bahamut組織。因此我們將本次發現的攻擊樣本歸屬於Bahamut組織。

圖6 組織歸屬

圖7 Blackbarry披露的Bahamut組織的資產

4. 攻擊活動和受害者分析

通過分析該家族樣本的創建時間和對樣本進行溯源,我們發現,該家族樣本最早出現在2020年10月,並在2021年2月出現短暫活躍後一直處於平靜狀態,直到今年1月份又開始活躍,並且活躍至今。兩次活躍期使用了不同的釣魚網站進行載荷的投遞。

圖8 同家族樣本活躍時間線

通過查詢同家族早期樣本的用戶感染情況,我們發現受害用戶的最早感染時間是2021年2月底,這與首次活躍期間釣魚網站的出現時間相符,地理位置主要集中在沙特阿拉伯、巴基斯坦,這些地區也都與Bahamut組織的主要攻擊目標相符。

總結

能夠獨立開發聊天軟件和遠控木馬,代碼結構清晰、質量高,這說明Bahamut組織的開發人員具備較高的開發水平。同時,開發木馬化的聊天軟件,使用隨機化的字符串作為C&C、頻繁的網絡釣魚等也說明了該組織具備較強的偽裝和攻擊技巧。在我們跟進Bahamut此次攻擊事件期間,又出現了幾個屬於該組織的其它家族樣本,可見該組織在近期應該有集中的攻擊活動。我們會持續關注該組織的攻擊動態。

附錄 IOC

ad6f124d00ca05f2a19b5215b85e25a8

ed43605e6d85c7eab473c30ec1b2271a

88d421b5b9a7f52f1a961e52c49019b1

45c8120d7108d4d363cddf06e662f0e9

cc2f12845d1eb4023b90c02a73827e23

869ae17c011a213560c04e97e5b53a63

241b578fe963ad199fd5bdc0bb50f4ca

http://www.jamaat-ul-islam.com/Kashmir.apk

http://jamaat-ul-islam.com/KashmirAlliance/Kashmir-Youth.apk

https://www.securechatnow.com/apk/v1/securechatnow_v1_0_6.apk

https://www.securechatnow.com/apk/v1/securechatnow_v1_0_7.apk

https://freesexvideos.ch/adult-v1.apk

h94xnghlldx6a862moj3.de

5iw68rugwfcir37uj8z3r6rfaxwd8g8cdcfcqw62.de


參考

https://blog.talosintelligence.com/2018/07/Mobile-Malware-Campaign-uses-Malicious-MDM.html

https://www.blackberry.com/us/en/forms/enterprise/bahamut-report

https://blog.cyble.com/2021/08/10/bahamut-threat-group-targeting-users-through-phishing-campaign/



360烽火實驗室

360烽火實驗室致力於移動惡意軟件分析、移動灰黑產研究、移動威脅預警、移動APT的發現與追蹤等移動安全領域的深入研究。作為全球頂級移動安全生態研究實驗室,360烽火實驗室在全球範圍內不僅首發了多篇具備國際影響力的移動安全生態研究成果,並且成功狩獵了蔓靈花、拍拍熊等多個APT組織針對我國及境外重要目標的攻擊活動。實驗室在為360手機衛士、360手機助手、360加固保等公司產品提供核心安全數據的同時,也為科研單位、手機廠商、應用商店及上百家國內外合作夥伴提供了移動應用安全檢測服務,全方位守護移動安全。
arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()