记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

PhantomLance APT分析

2020-05-03 12:28

2019年7月,Dr. Web研究人员在Google Play中发现了一个后门木马,看似非常复杂。之后,研究人员对其进行了调查,发现这是一个长期的攻击活动,研究人员将其命名为——PhantomLance。其攻击活动可以追溯到2015年12月注册的一个域名。研究人员从2016年开始该攻击活动发布了多个相关的样本,并出现在不同的应用市场中。最近的一个样本就是2019年11月上传到Google Play中的。

最新样本

Google Play中的监控软件的最新样本伪装成了浏览器清理器:

分析过程中,研究人员发现其与OceanLotus APT攻击活动有一定的重叠。研究人员发现其与之前的安卓攻击活动代码存在相似性,基础设施以及Windows后门也存在相似性。

恶意软件版本

根据技术复杂性,研究人员将发现的样本分成3个不同的系列:1-3,其中1最简单,3最复杂。但是1到3的复杂性并不是按照年份来分类的,比如v1系列的样本在2017到2019年都出现过。

这些样本的功能都是相似的,主要目的是收集敏感信息。基本功能包括收集地理位置信息、通话记录、通讯录、SMS,应用可以收集安装的应用列表、型号、操作系统版本等设备信息。此外,攻击者还可以下载和执行恶意payload,下载的payload根据设备环境的不同而不同,比如安卓系统版本和安装的应用程序。这样攻击者可以避免一些不必要的特征,同时收集所需的信息。

传播

攻击者主要通过应用市场进行传播。除了com.zimice.browserturbo外,Dr. Web报告的com.physlane.opengl表明有许多恶意应用都通过Google Play传播。

Google play中恶意软件的链接的搜索结果

研究人员确认一下应用中存在在Google Play中:

image.png

此外,研究人员发现多个第三方应用市场中仍然有恶意应用,比如https://apkcombo[.]com, https://apk[.]support/, https://apkpure[.]com, https://apkpourandroid[.]com

第三方网站上的恶意应用描述(越南语, hxxps://androidappsapk[.]co/detail-cham-soc-be-yeu-babycare/)

恶意软件在开发过程中,会通过创建一个含有伪造的终端用户证书协议(end-user license agreement, EULA)来构建一个伪造的开发者介绍。示例如下:

含有伪造的开发者邮件的Google Play页面

下面是2019年10月17日注册的相关的Github账户:

伪造开发者身份的GitHub介绍

研究人员在分析过程中发现了攻击者用来传播恶意软件的一个技巧。那就是:最初上传到应用市场的应用版本是不含有恶意payload或释放payload的代码的。因为代码中不含有恶意内容,所以会被接受。然后攻击者会在之后上传的版本中更新为含有恶意payload或释放和执行payload的代码。研究人员在所有样本中都确认了这一技巧,并发现了2个含有和不含恶意payload的版本:

含有和不含有恶意payload的ApkPure

基础设施

分析C2服务器基础设施时,研究人员发现了多个域名。这样可以发现攻击者的基础设施:

相关基础设施示例

研究人员追踪PhantomLance的基础设施,发现可以追溯到4年前,过期的域名也被续期了。对域名的维护表明这些基础设施未来可能会再次被使用。

image.png

PhantomLance的TTP表明这些样本的子域名被配置为C2服务器,父域名没用自己的IP解析。研究人员发现有有效解析的域名被解析到同一个IP 地址——188.166.203[.]57,这是一个云服务提供商的IP。

研究人员查询DNS记录发现这些网站大都是合法的,但前面提到的PhantomLance域名和OceanLotus基础设施存在交叉:

· browsersyn[.]com

· cerisecaird[.]com

受害者分布

研究人员分析了针对安卓设备的约300起感染攻击,受害者分布在印度、越南、印尼、孟加拉国等。下面是受攻击最多的国家分布:

此外,研究人员还发现了尼泊尔、缅甸、马来西亚等国的设备也有感染。从中可以看出,南亚应该是该攻击组织的主要目标。

为了深入分析目标受害者的情况,研究人员分析了恶意软件模仿的应用类型。除了常见的flash插件、清理器、更新器外,有一些专门针对越南人的应用:

codedexon.churchaddress – “Địa Điểm Nhà Thờ” (“Church Place”)。查找附近或越南教堂、神父、电话号码,网站、电子邮件信息的应用。

bulknewsexpress.news – “Tin 247 – Đọc Báo Hàng Ngày” (“每日新闻”),一款模仿越南移动新闻应用www.tin247.com的应用程序。

与其他攻击/APT之间的关系

研究人员分析发现PhantomLance的活动与OceanLotus APT组织的攻击活动有一定的关联。

2014-2017年OceanLotus安卓攻击活动

截止目前,受影响的用户主要位于越南,也有有少部分用户位于中国。主要的感染向量是位于第三方网站的恶意应用,主要通过SMS或鱼叉钓鱼攻击传播。

研究人员将OceanLotus (MD5: 0e7c2adda3bc65242a365ef72b91f3a8)样本和PhantomLance payload v3代码结构进行了比较:

OceanLotus和PhantomLance payload v3代码结构比较

虽然有很多差异,但研究人员还是发现了一些相似的模型。开发者看似是将module重命名为plugin了,但是意思是一样的。重叠的类看起来也是相似的,功能也相同。比如,下面是Parser类中包含的方法的比较:

image.png

研究人员用恶意软件归属技术分析发现,PhantomLance payloads和OceanLotus安卓攻击活动至少有20%的重合。


OceanLotus macOS后门

网上有很多与OceanLotus相关的后门的分析,研究人员分析发现这些样本中有3个类有相同的名字和功能:“Converter”、“Packet”和“Parser”。

根据对之前活动的完整分析,加上受害者位于越南,PhantomLance和OceanLotus基础设施的重叠,安卓攻击活动和macOS后门的代码相似性,研究人员认为该安卓攻击活动与OceanLotus有很大的相似性。

本文翻译自:https://securelist.com/apt-phantomlance/96772/如若转载,请注明原文地址
知识来源: https://www.4hou.com/posts/0Og7

阅读:15982 | 评论:0 | 标签:apt

想收藏或者和大家分享这篇好文章→复制链接地址

“PhantomLance APT分析”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云