2014年9月,也门爆发内战,参战双方分别为总统阿卜杜拉布·曼苏尔·哈迪领导的也门政府和胡塞武装。2015年3月,以沙特阿拉伯为首的阿拉伯国家针对也门内战进行干预行动。由于长期经历战乱,也门已是世界上经济最落后的国家之一。
2022年3月30日,在海湾合作委员会(简称“海合会”)主持下,由也门国内多方参加的解决也门问题磋商会(简称“利雅得磋商”)在沙特首都利雅得正式开始,以结束持续7年的也门战争,翻开推动也门走向和平和发展的新篇章。然而就在“利雅得磋商”这一关键事件期间,我们发现了一起围绕这场磋商开展的移动端网络攻击活动。
本次发现的攻击活动主要围绕“利雅得磋商”事件,针对参会的也门记者和媒体人等进行间谍活动。攻击者使用Android端SpyNote商业间谍软件,通过WhatsApp、短信、邮件等方式对特定人群进行定向攻击进而实施间谍活动。通过开源情报我们得知攻击者疑似为中东某国情报部门。
另外,通过对本次攻击的网络基础设施进行扩线关联,我们发现这次攻击活动和我们前段时间发布的《Kasablanka组织针对中东地区政治团体和公益组织的攻击行动》报告中的事件存在关联。
一、受影响情况
通过对受害者的地理位置进行分析我们发现,受害者主要分布在位于西亚和北非的阿拉伯国家和地区,其中位于也门的受害者最多。这些受害者的机器语言涉及广泛,有阿拉伯语(埃及)、阿拉伯语(也门)、英语等,这也侧面说明了受害者可能来自不同的国家。二、攻击活动分析
1.载荷投递分析
本次攻击活动中,攻击者通过将攻击样本伪装成海合会为也门提供支持计划、沙特也门开发和重建计划等的相关应用程序,通过WhatsApp、短信、邮件等方式给攻击目标发送钓鱼消息,诱导目标安装间谍软件。攻击者将攻击载荷存放在Mediafire存储平台上,通过生成对应短链接,发布到钓鱼消息中进行载荷投递。2.攻击样本分析
本次攻击行动中使用的是SpyNote家族样本,这是一款功能强大的商业间谍软件,具有多个功能,以及管理平台。其主要功能为:文件管理
短信管理
通话记录管理
联系人管理
位置管理
账号管理
键盘记录
手机设置
拨打电话
拍照、录音、录像
实时录音
实时录像
获取应用列表
执行shell命令
三、归属研判
1.攻击事件追踪
通过对攻击过程进行深入分析我们发现,攻击者使用的WhatsApp注册手机号码归属于沙特阿拉伯。Mediafire存储平台上相关样本的上传区域位于也门,上传时间是2022年3月18日,恰好在“利雅得磋商”时间之前。同时通过搜索开源情报,我们又找到了数篇涉及到此次攻击事件的阿拉伯语报道和安全警告,报道中指出攻击方为中东某国情报部门,攻击目标是参加利雅得磋商的也门参与者。综合开源情报信息、受害者信息以及伪装对象,可知攻击者疑似是中东某国情报部门,攻击对象包括但不限于参加利雅得磋商的也门记者和媒体人士。2.其它关联事件
通过对攻击活动中使用的C&C进行扩线关联,我们发现一个样本的C&C域名解析过的IP曾经也被《Kasablanka组织针对中东地区政治团体和公益组织的攻击行动》报告中一个样本的C&C域名解析过,并且这两个样本使用的是同一个包名。除此之外,我们发现两起攻击事件使用的Android端攻击样本具备如下共性:属于商业间谍SpyNote家族
攻击样本伪装对象均和也门相关
C&C使用的是ddns.net动态域名
域名解析IP位于也门
因此,我们高度怀疑这两起事件存在着关联性。鉴于目前掌握的线索有限,两起事件分别涉及的中东某国情报部门和Kasablanka组织的关系我们还不能给出准确的判断。
利用热点事件进行诱导投递是多数攻击组织屡试不爽的手段。攻击者以商业间谍软件作为攻击工具和使用动态域名作为C&C,这极大的增加了对攻击者的溯源难度,使得攻击者能够以最小的成本达到信息窃取的目的。许多阿拉伯国家在“阿拉伯之春”之后又爆发了数起战争事件,局势的不稳定性势必会引起各方对局势的关注,而围绕也门“利雅得磋商”进行的间谍活动仅仅是冰山一角,潜藏在阿拉伯地区深处的网络攻击活动仍暗流涌动。我们会持续监控相关活动,通过挖掘更多信息帮助我们解开中东某国情报部门和Kasablanka组织之间扑朔迷离的关系。Hash
30b509e24e80946c614284972f5050bb
db73b79183275d285d45667af83c9be0
424cc39536810350a3cd31a0768525bd
e2939937730e088b53f1f386c1f56ac4
93730c6e3f61e8a19e1389244461226b
1b2223bf514e8446e7d07f1a31f4ce4b77112hilan.ddns.net
antahomaar2022.ddns.net
https://www.facebook.com/adenfree/posts/5489094297789108
https://www.facebook.com/albaheth/posts/10159724986361494
https://www.facebook.com/bayazid707/posts/5015004495255481
https://www.sohu.com/a/530169329_267106
https://alkhabaralyemeni.net/2022/04/14/168377/
https://mp.weixin.qq.com/s/mstwBMkS0G3Et4GOji2mwA
360烽火实验室
360烽火实验室致力于移动恶意软件分析、移动灰黑产研究、移动威胁预警、移动APT的发现与追踪等移动安全领域的深入研究。作为全球顶级移动安全生态研究实验室,360烽火实验室在全球范围内不仅首发了多篇具备国际影响力的移动安全生态研究成果,并且成功狩猎了蔓灵花、拍拍熊等多个APT组织针对我国及境外重要目标的攻击活动。实验室在为360手机卫士、360手机助手、360加固保等公司产品提供核心安全数据的同时,也为科研单位、手机厂商、应用商店及上百家国内外合作伙伴提供了移动应用安全检测服务,全方位守护移动安全