不知对Bahamut组织的移动端武器还有印象吗?
令人担忧的事情终究还是发生了:我们发现其有了新变种!
事件概要
2022年8月,奇安信病毒响应中心移动安全团队在高级威胁追踪中发现到Bahamut组织投入了一个近两年其在Android端经常使用的TriggerSpy家族新变种。该变种为第四代,此次攻击仍采用钓鱼网站进行分发。需要注意的是,目前该新变种在VirusTotal上显示暂无其它杀软识别。
图1.1 VirusTotal上的杀软检测情况
Bahamut组织被认为是一个“雇佣黑客组织”,其于2017年首次被Bellingcat披露并命名。该组织专注于中东和南亚的政治、经济和社会领域,其攻击目标主要是个人而不是组织,通常利用钓鱼网址方式开展攻击。Bahamut组织拥有近乎全平台的攻击能力,同时覆盖PC端和移动端,涉及Windows、Android、MacOS、iOS,并且针对移动端的攻击能力更加突出。
根据此次的钓鱼网站性质和历史攻击情况,分析认为Bahamut组织此次攻击的目标主要针对的是部分印度人员。
目前,基于奇安信自研的猫头鹰引擎和威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、奇安信天狗漏洞攻击防护系统、天擎、天机、天守、天眼高级威胁检测系统、奇安信NGSOC(态势感知与安全运营平台)、奇安信监管类态势感知等,都已经支持对此类攻击的精确检测。
载荷投递
通过奇安信病毒响应中心移动安全团队创新研发的高价值移动端攻击发现流程和奇安信威胁情报中心的威胁情报平台(https://ti.qianxin.com/)追踪分析,我们发现到Bahamut组织在今年8月16日开始投入钓鱼网站(paytm[.]website)进行载荷投递。此次涉及的钓鱼网站伪装成印度知名支付Paytm网站。
图2.1 2022-08-16日开始注册钓鱼网站
图2.2 被发现于2022-08-17日开展钓鱼活动
图2.3 真假Paytm网站对比(上假、下真)
在对该钓鱼网站的追踪分析中,我们发现该网站早在2018年就曾被用来攻击印度SSC相关人员(StaffSelectionCommission)。虽然网站两次采用的攻击样本并不是同一个恶意家族,但我们认为这不是偶然,更大可能这是属于Bahamut组织的其中一个常用网络资产。
图2.4 2018年用来攻击印度SSC人员的C2(paytm[.]website)
技术分析
TriggerSpy家族出现于2020年,是Bahamut组织近两年持续使用的AndroidRAT,该名称采用的是奇安信的命名方式。本次攻击活动中使用的样本伪装成Paytm相关应用。
图3.1 伪装成Paytm相关应用的TriggerSpy
通过分析对比发现,此次Bahamut组织投入的移动端攻击TriggerSpy,应该是其为了躲避已被多家安全厂商识别的历史移动端武器而进行的改变,为第四代新变种。其采用了不申请敏感权限,来实现躲避其它安全厂商的检测。此次新变种并不窃取短信、联系人、通话记录等常见用户敏感隐私信息,但采用辅助功能来完成窃取三种知名社交软件(singal、Telegram、whatsApp)的聊天信息。
图3.2 TriggerSpy家族四代变种参考
攻击组织溯源分析
基结合此次样本与钓鱼网站等情况分析,奇安信病毒响应中心移动安全团队认为本次攻击活动归属为Bahamut组织。主要依据如下:
样本针对印度相关人员,符合该组织的其中一种攻击目标。
攻击样本属于TriggerSpy的第四代,TriggerSpy一般属于Bahamut组织独用。
样本采用的C2 域名形式虽然发生变化,但地址形式和Bahamut组织之前采用的仍相似。
总结
Bahamut组织是一个擅长网络钓鱼的“雇佣黑客组织”,此次攻击仍然保持该攻击方式。网络钓鱼可谓老生常谈,却仍是攻击者屡试不爽的惯用手法,最有效的方式。应对这些攻击不仅需要安全厂商的各类安全产品的防护和到位的安全服务支持,更离不开企业对内部自身安全规程及企业内部员工安全防范意识的持续建设。如何避免遭受移动端上的攻击,奇安信病毒响应中心移动安全团队提供以下防护建议:
要切记及时更新系统,在正规的应用商店下载应用。国内的用户可以在手机自带的应用商店下载,国外用户可以在Google Play下载。不要安装不可信来源的应用、不要随便点击不明URL或者扫描安全性未知的二维码。
移动设备及时在可信网络环境下进行安全更新,不要轻易使用不可信的网络环境。
不轻易开启Root权限;对请求应用安装权限、激活设备管理器等权限的应用要特别谨慎,一般来说普通应用不会请求这些权限,特别是设备管理器,正常的应用基本没有这个需求。
确保安装有手机安全软件,进行实时保护个人财产安全;如安装奇安信移动安全产品。
IOCs(线索)
| 域名/URL | 用途 | 备注 |
| paytm[.]website | 钓鱼网址 | |
| 7b64-223-236-200-74.in.ngrok.io | C&C | |
| Android MD5 | 包名 | 名称 |
| 56c296208938c990e37c064669f97a07 | paytm.with.nopermission | PayTM Support |
参考链接
【1】https://www.secrss.com/articles/34933
附录
奇安信病毒响应中心
奇安信病毒响应中心是北京奇安信科技有限公司(奇安信集团)旗下的病毒鉴定及响应专业团队,背靠奇安信核心云平台,拥有每日千万级样本检测及处置能力、每日亿级安全数据关联分析能力。结合多年反病毒核心安全技术、运营经验,基于集团自主研发的QOWL和QDE(人工智能)引擎,形成跨平台木马病毒、漏洞的查杀与修复能力,并且具有强大的大数据分析以及实现全平台安全和防护预警能力。
奇安信病毒响应中心负责支撑奇安信全线安全产品的病毒检测,积极响应客户侧的安全反馈问题,可第一时间为客户排除疑难杂症。中心曾多次处置重大病毒事件、参与重大活动安全保障工作,受到客户的高度认可,提升了奇安信在业内的品牌影响力。
声明:本文来自奇安信病毒响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
