军刀狮组织（ APT-C-38）攻击活动揭露 一、 概述 从2015年7月起至今，军刀狮组织（ APT-C-38）在中东地区展开了有组织、有 计划、针对性的不间断攻击。其攻击平台为 Windows和Android，截止目前 360 烽火实验室（ 360 Beaconlab ）一共捕获了 Android平台攻击样本 25个， Windows平台攻击样本 4个，涉及的 C2域名16个。 2018年5月，Kaspersky 安全厂商发表报告 《Who’s who in the Zoo 》，首次 批露该组织为一个未归属的专注于中东目标的间谍活动组织，并命名 ZooPark，涉及的攻击武器共包含四个迭代版本的 Android端RAT，载荷投递方 式包括水坑和 Telegram 频道。 2019年，360烽火实验室捕获到军刀狮组织的最新攻击活动，除发现 Android 端攻击外还发现该组织带有 Windows端攻击，其中 Android端RAT仍属于第四 代。我们结合 APT攻击的地缘政治因素、攻击组织使用的语言以及该组织发起 的历史攻击活动，分析后认为该组织是位于西亚的中东某国家背景的 APT组 织。另在此感谢我们的兄弟团队 ----360高级威胁应对团队 对本报告 Windows 端RAT内容的完成。 由于军刀狮组织的攻击目标有一个主要的特色目标是西亚中东某国的库尔德 人，另Windows端RAT包含的PDB路径下出现多次的 “Saber” ，而亚洲狮为该 中东国家的代表动物，结合该组织的一些其它特点以及 360对 APT 组织的命名 规则，我们将该组织命名为军刀狮（ APT-C-38）。 图1.1 军刀狮关键攻击活动时间事件点 二、 载荷投递和网络基础设施 军刀狮组织载荷投递的方式主要为水坑攻击和 Telegram 频道。需 要注意的是该 组织在2018年5月初被首次披漏后，攻击组织在当月月底使用了新一批的网络 基础设施。 - 水坑攻击 目前已发现有两家在中东地区流行的阿拉伯新闻报纸网站（科威特 Annahar和 埃及Al-Nahar）曾被该组织用来水坑攻击。 图2.1 埃及Al-Nahar网站 - Telegram 频道 除了上面两个针对指定中东地区阿拉伯国家的水坑攻击外，我们还发现到该组 织在攻击其主要的攻击目标中东某国的库尔德人时多采用 Telegram 频道传播 （如伊斯兰议会前对库尔德斯坦省选举攻击和库尔德斯坦省马里万萨南达季的 抗议活动攻击等）。 图2.2 伊斯兰议会前对库尔德斯坦省选举攻击的 Telegram 频道 - 网络基础设施 至今军刀狮组织已经使用了多个网络基础设施。 表1 军刀狮组织使用的网络基础设施 Server Descr iptio n Regist rant Countr y'City Regist rant Phone Registrant Email Regist rant Postal Code rhubarb2. com C2 serve r IR'San andaj +98.93 039382 51 pilton86@ya hoo.com 661447 8527 rhubarb3. com C2 serve r Privac yProte ct Privac yProte ct PrivacyProt ect Privac yProte ct androidup daters.co m Inter media te servi ce （ima ge） IR’Te hran +98.21 885612 12 asgharkhof@ gmail.com 986521 4523 dlgmail.c om Inter media te servi ce （ima ge） IR’Te hran +98.21 888882 99 silent.city 2020@mail.c om 166397 6888 dlstubes. com Inter media te serviIR +98.88 775887 98 boldman.sam @mail.com 155873 8817 Server Descr iptio n Regist rant Countr y'City Regist rant Phone Registrant Email Regist rant Postal Code ce （ima ge） googleupd ators.com Inter media te servi ce （ima ge） IR +98.88 775887 98 boldman.sam @mail.com 155873 8817 adobeacti veupdates .com Inter media te servi ce （ima ge） IR +98.88 775887 98 boldman.sam @mail.com 155873 8817 adobeseup dater.com Inter media te servi ce （ima ge） IR’Te hran +98.21 778889 91 boldman.sam @mail.com 111556 79 dlstube.c om Inter media te serviIR’Te hran +98.21 226945 75 kimkallian@ gmail.com 177179 8635 Server Descr iptio n Regist rant Countr y'City Regist rant Phone Registrant Email Regist rant Postal Code ce （ima ge） adobeacti veupdate. com Inter media te servi ce （ima ge） IR’Te hran +98.91 061451 78 sirus_virus 6688@yahoo. com 241768 2380 5.61.27.1 54 null null null null null 5.61.27.1 57 null null null null null 5.61.27.1 73 null null null null null 91.109.23 .175 null null null null null 需要注意的是其在 2018年5月23日新申请了一批网络基础设施，最新的移动 端攻击载荷于 2019年3月部署在其中的一个服务器，这批中间服务器共有 4 个，有3个至今仍存活且解析后实对应同一 IP，这批服务器充当着 PC端和移 动端RAT的中间服务器角色。 图2.3 被披露后军刀狮组织当月新部署的一批网络基础设施 三、 诱导方式 军刀狮组织在这次行动中主要使用以下两种诱导方式： - 含有正常 APP功能的伪装 为更好的躲避被察觉到，除了对文件图标进行伪装外，还会在 RAT启动时显示 出正常的 APP界面，目前四个迭代版本的 Android 端RAT，运行后均会展示出 正常界面，但在运行时或者接收到指定广播时，便开启在后台进行的间谍活 动。 图3.1 第二代和第四代的 Android 端RAT运行后展示举例 - 文件图标伪装 图3.2 伪装的应用软件图标 四、 RAT攻击样本分析 截至目前，军刀狮组织已使用到针对 Android 和Windows平台的不同 RAT，经 过分析，我们认为最新的 Android端RAT和PC端RAT应该购买自同一个商业开 发组织，其中一名开发者昵称为 “Apasec” 。 - Android Android端共使用到四个迭代的 RAT，本报告中我们仅介绍最新攻击活动使用的 第四代RAT，我们命为 UnitMM，该RAT目前仅在军刀狮组织中出 现，其它版本 RAT的信息可参考本报告前面提到的 Kaspersky 安全厂商报告。 UnitMM军刀狮组织的第四代 RAT。根据该 RAT包含的类名和使用到的数据库名 等，我们命名为 UnitMM。最新版本的 UnitMM通过默认的数十个功能配置，进 行控制窃取短信、通讯录、地理位置、浏览器书签和搜索历史记录、剪切板信 息、外部指定的应用程序数据、捕捉照片 /视频/音频等多种恶意行为。 此外UnitMM还能响应来自 C2的指定指令进行交互。 表2 C2指令与功能对应表 指令 功能 2 更新恶意功能配置 4 执行shell命令 6 将指定的文件 /文件夹压缩并保存到预设目录 8 将任务内容写入临时 zip文件，从中提取所有内容并将其删除 10 将指定的文件 /文件夹复制到指定的目录 12 将指定的文件 /文件夹移动到指定的目录 14 重命名指定的文件 /文件夹 16 删除指定的文件 /文件夹 18 创建指定的目录 20 静默发送指定的内容短信到指定的号码 22 拨打指定号码电话 指令 功能 24 获取指定路径下的文件列表信息并将其保存到预设目录 26 更新中间服务器 (C2隐写图片 )列表 - Windows Windows端目前发现到一种 RAT，我们命为 SpecialSaber ，该RAT目前仅在军 刀狮组织中出现，共有 4个。 Specia