拍拍熊(APT-C-37):持续针对某武装组织的攻击活动揭露2019年3月11日一、概述从2015年10月起至今,拍拍熊组织(APT-C-37)针对某武装组织展开了有组织、有计划、针对性的长期不间断攻击。其攻击平台为Windows和Android,截止目前360烽火实验室(360Beaconlab)一共捕获了Android平台攻击样本32个,Windows平台攻击样本13个,涉及的C&C域名7个。受攻击的武装组织由于其自身的政治、宗教等问题,使其成为了众多黑客及国家的攻击目标。2017年3月,该武装组织的Amaq网站媒体频道发布了一条警告消息,该消息提醒访问者该网站已被渗透,任何访问该网站的人都会被要求下载伪装成Flash安装程序的病毒文件。从消息中我们确定了该武装组织是该行动的攻击目标,其载荷投递方式至少包括水坑式攻击。通过分析,我们发现拍拍熊组织使用到的一个主要C&C位于中东某国,且和同时期的黄金鼠组织[1]使用的C&C属于同一个网段。进一步分析对比,两个组织有很强的关联性,然两者又包含有各自的特有RAT。由于拍拍熊组织的攻击目标针对的是某武装组织,且支持双平台攻击,另史上曾经出现过唯一一种获有士兵证的中东某国特色动物,结合一些其它特点以及360对APT组织的命名规则,我们将该组织命名为DOTA游戏里的一个角色名----拍拍熊。图1.1拍拍熊攻击相关的关键时间事件点二、载荷投递此次拍拍熊组织载荷投递的方式主要为水坑攻击。⚫水坑攻击AlSwarm新闻社网站(见图2.1)是一个属于该武装组织的媒体网站,同样的原因,使其也遭受着来自世界各地的各种攻击,曾更换过几次域名,网站目前已经下线。拍拍熊组织除了对上述提到的Amaq媒体网站进行水坑攻击外,我们发现AlSwarm新闻社也同样被该组织用来水坑攻击。图2.1AlSwarm新闻社网站(注:采用archive获取)该水坑攻击方式采用的是把AlSwarm站的正常APP替换成一个插入RAT后的恶意APP,其RAT具体下载链接和链接对应文件MD5见表1。恶意下载链接https://sawarim.net/apps/Sawarim.apk域名状态失效下载的APK文件MD5bb2d1238c8418cde13128e91f1a77ae7表1Android端RAT程序具体下载链接和链接对应文件MD5除了上面两个针对该武装组织新闻媒体网站的水坑攻击外,我们还发现到拍拍熊组织使用到的一些其它历史水坑攻击见表2,包含了Android端和Windows端RAT程序具体下载链接和链接对应文件MD5。恶意下载链接http://androids-app.com/downloads/Youtube_v3_4.apk域名状态失效下载的APK文件MD5dc1ede8e2d3206b04cb95b6ae62f43e0恶意下载链...
