来自南亚的金刚象组织 VajraEleph ——针对巴基斯坦军方人员 的网络间谍活动披露 一、 事件概要 2022年2月，奇安信病毒响应中心移动安全团队 关注到自2021年6月起至 今，一个来自 南亚某国背景的 APT组织主要针对巴基斯坦军方 展开了有组织、 有计划、针对性的 军事间谍情报活动。经过短短 9个月的攻击，该组织已影响 数十名巴基斯坦军方人员 。这部分受害人员主要为巴基斯坦国家的边防军 （FC）和特种部队（ SSG），尤其是 俾路支省边防军 （FC BLN）；此外还包含 少量的联邦调查局（ FIA）和警察（ Police）。另攻击还影响了少量的尼泊尔人 员，但我国 国内用户不受其影响。 图1.1 受影响的国家分布情况图 该组织通常使用公开的社交平台找到关注的目标后，结合色情话术等聊天 诱导目标用户安装指定的诱饵聊天攻击应用进行钓鱼攻击 。此外，攻击者 还曾 在国外某知名应用商店平台 发布该恶意聊天 应用，但目前相关链接已 无法访 问。 截至本报告发布 之时，我们 已经截获的该组织所有攻击 活动，都是通过 Android平台进行的，尚未发现任何通过 Windows 平台进行的攻击。累计 捕获 恶意应用 下载服务器 8个，服务器 上至少可以下载到 5个不同的 Android平台 攻击样本 。所有样本均为含有恶意 代码的专用聊天软件。 我们将所有这些捕获 的恶意样本命名为 VajraSpy 。 综合攻击活动 特征、样本编码方式、 C2服务器架构方式 等多方面线索分析 显示，该组织 具有南亚某地区性大国政府背景，但又与该地区活跃的其他 APT 组织，如 响尾蛇 SideWinder 、蔓灵花 Bitter、肚脑虫 Donot等没有显著关联 （仅 与肚脑虫 Donot存在少量相似性 ），具有 很强的独立性和独立特征。 因此，我 们判定该组织为 活跃在南亚 地区的新APT组织。我们将其命名为金刚象，英文 名为VajraEleph ，组织编号 APT -Q-43。金刚象是奇安信 独立发现并率先披露的 的第 15个APT组织。 二、 载荷投递 通过奇安信病毒响应中心 移动安全团队 与奇安信威胁情报平台 （https://ti.qianxin.com/ ） 的联合追踪分析 发现，金刚象组织最早 的活动可以追 溯到 2021年6月。 下图为我们截获的 该组织最早的载荷服务器信息。 图2.1 发现的最早域名载荷服务器相关截图（采用 NameSilo 注册商域名） 该组织早期的攻击，通常会将攻击载荷 下载地址的的“短链接”， 通过 Faceb ook、Whatsa pp等社交软件发送给攻击目标 。后期，随着各大社交平台对 相关链接进行封禁，该组织 转为将短 链接以图片方式 向目标人进行投递。 载荷短链 地址 对应实际 下载地址 https://cutt.ly/qIrgCKo https://appz.live/ichfghbtt/crazy.apk https://bit.ly/3BrCxNU https://appzshare.digital/coufgtdjvi/ZongChat(Beta).apk https://bit.ly/39roCMd https://apzshare.club/poahbcyskdh/cable.apk https://rebrand.ly/Cable_v2 https://appzshare.club/poahbcyskdh/cable.apk 表1 已发现的载荷投递短链及其对应的实际下载地址 该组织采用的载荷域名服务器注册时间均不到一 年，注册商主要是 NameSilo 和NameCheap 。这与近期在南亚活跃的另一个高级攻击组织肚脑虫 的 活动相似 。 图2.2 部分域名载荷服务器 whois情况 三、 攻击目标 金刚象组织具有明显的军事情报窃取意图，主要 针对巴基斯坦军方人员， 影响已涉及数种部队 的数十名军方人员 。以下是我们从攻击者 C2服务器上截 获的，部分受害者手机 被窃取的照片和资料。 图3.1 巴基斯坦边防军（ FC ，Frontier Corps ）人员被窃 照片 图3.2 巴基斯坦俾路支省边防军（ FC BLN ，FC Balochistan ）人员被窃照片 图3.3 俾路支省 边防军人员被窃资料 图3.4 巴基斯坦特种部队（ SSG ，Special Service Group ）人员被窃照片 图3.5 巴基斯坦警察 被窃照片 图3.6 巴基斯坦警察被窃 资料 图3.7 巴基斯坦联邦调查局（ FIA，Federal Investigation Agency ）人员被窃照 片 图3.8 关于陆军参谋长 （COAS，Chief of Army Staff ）的被窃资料 四、 技术分析 通过分析发现 ，目前金刚象组织投入的攻击 RAT针对的都是Android平 台。分析显示， 该组织的RAT定制化程度较高，我们将其命名为 VajraSpy 。 VajraSpy 支持间谍 活动的所有经典功能 ，并将窃取到的数据存储到指定的谷歌 云存储空间中。 功能 对应的窃取后数据存储文件名称 窃取通话记录 logs.json 窃取通讯录 contacts.json 窃取短信 sms.json 窃取SD卡指定目录 15种类型文件 files/文件名 窃取通知栏信息 noti/13位时间戳 .json 窃取设备信息 device.json 窃取已安装的应用程序 信息 appdetails.json 窃取三种版本的 WhatsApp 信息 wa.json/wab.json/wabs.json 表2 VajraSpy RAT主要窃取功能情况表 图4.1 窃取的 15种类型文件（文本、图片、音频）相关代码片段 五、 攻击者画像 1）攻击目的 攻击者以 巴基斯坦 军方、安全及警务 人员为主要攻击目标 ，包括边防军 （FC）、特种部队（ SSG）、联邦调查局（ FIA）和警察（ Police）等。其中，