揭露諾崇獅APT組織，下一隻沉默的羔羊是誰？

https://www.leiphone.com/news/202003/j1ove1HVxFA2OWgi.html

雷鋒網按：本文受權轉載自奇安信威脅情報中心紅雨滴團隊。2015年4月22開始，截至2018年世界盃結束後的數月裏，有一個網絡攻擊組織一直持續針對阿·拉伯用戶、什葉派及評論人士進行展開攻擊，很多被攻擊的社交平臺帳號變成「沉默帳號」，奇安信紅雨滴把其歸屬爲一個新的組織：諾崇獅組織。至今，諾崇獅組織在其歷史攻擊活動裏已使用了四種移動端的RAT，包括開源的RAT（AndroRat）和三種商業RAT（SandroRat、SpyNote及MobiHok）。

1、概述

不管物理仍是網絡空間的對抗，中東歷來都是高度活躍的區域，奇安信紅雨滴團隊也一直保持着關注。基於長期的分析整理，本文公開一波持續幾年的定向攻擊活動及背後的團伙，值得分享到安全社區以增進咱們對地緣政治背景下的網絡行動的理解。

自名爲「Operation Restoring Hope」 的也門干預行動當天，也就是2015年4月22開始，截至2018年世界盃結束後的數月裏，有一個網絡攻擊組織一直持續針對阿·拉伯用戶、什葉派及評論人士進行展開攻擊，在攻擊後咱們發現很多被攻擊的社交平臺帳號變成「沉默帳號」，在目前已知的APT組織中均未發現和該組織有重疊，所以奇安信紅雨滴把其歸屬爲一個新的組織：諾崇獅組織。

有一句話這樣形容Dota遊戲裏的一名角色人物—-沉默術士(諾崇)：一切魔法，遭遇了他，都將歸於寂靜。其後半句用在該攻擊組織上至關吻合，再加上該組織的震懾力和其中的配合如同獅羣，故咱們將其命名爲諾崇獅組織。隨着該組織所屬相關領導者近期可能發生的變更，該組織有可能會再度活躍。

目前已經關聯到的攻擊活動時間線總結以下：

圖1.1   諾崇獅組織在多個網站和社交平臺上發起攻擊的時間線

2、背景介紹

諾崇獅組織掌握有一個由大量機器人及僱傭而來的成百上千名年輕人組成的虛擬團隊，用於傳播虛假信息和親政府宣傳，長期以來其一直專一於監視攻擊，使國內外的批評者保持沉默，其可以利用昂貴的間諜軟件瞄準生活在世界另外一端的持不一樣政見者。

Twitter是該組織的主戰場，由於Twitter被看成廣受歡迎的新聞發佈平臺。諾崇獅組織可能培養了兩名Twitter員工，嘗試訪問持不一樣政見者和激進分子的私人信息，包括電話號碼和IP。後Twitter在2015年11月11日，向幾十個被其中一名前Twitter員工訪問過賬戶的全部者發出了安全通知：「做爲預防措施，咱們提醒您，您的Twitter賬戶是一小部分賬戶之一，這些賬戶多是由國家贊助的參與者所針對的」。在2019年9月20日，Twitter又發出了一個新披露通知，宣佈永久暫停了一個名爲卡塔尼(Saud al-Qahtani)的Twitter帳號。

相似的，該組織還會操縱YouTube和Facebook平臺，於此就再也不展開描述。

3、載荷投遞

諾崇獅組織在攻擊活動展開期間，紅雨滴團隊捕獲到其至少投入近十名攻擊投遞者在多個網站和社交平臺上進行非定向的水坑傳播式釣魚攻擊及定向目標的魚叉攻擊。

（一）水坑攻擊

至今已發現有數名攻擊者在配合發佈釣魚信息，發佈地點涉及了三個網站與三個社交平臺(視頻平臺YouTube、聊天平臺Telegram和社交平臺Twitter)。釣魚消息使用的語言均爲阿拉·伯語，僅從YouTube平臺進行評估，約有萬名用戶可能受到攻擊影響。

(1)攻擊者在Qassimy遊戲網站進行發佈虛假遊戲信息，誘導用戶轉向釣魚網站進行惡意載荷的下載。

圖3.1    Qassimy遊戲網站上的釣魚信息

(2)在Gem-Flash網站進行發佈虛假遊戲信息，誘導用戶進行惡意載荷的下載。攻擊者(「wafa3」)應該和Qassimy上發佈的爲同一個，這次釣魚信息裏還帶有指向YouTube的一個引鏈。

圖3.2     Gem-Flash網站上的釣魚信息

(3)世界盃期間，在ADSGASTE數字門戶網站進行發佈虛假的世界盃播放應用信息，誘導用戶轉向釣魚網站進行惡意載荷的下載。

圖3.3     ADSGASTE數字門戶網站上的釣魚信息

(4)在YouTube平臺上，目前已發現到有兩個釣魚攻擊者；其中名叫「Nothing」的攻擊者，發佈了四次釣魚信息，按觀看數進行評估，約有萬名YouTube用戶收到釣魚信息。另外，值得注意的是該攻擊者在YouTube上發佈的其中一個釣魚信息地址被上面Gem-Flash網站的名爲「wafa3」的攻擊者使用在其釣魚信息中當作引鏈，相似的還能夠常常看到該組織下不一樣釣魚攻擊者之間的相互配合。

圖3.4     兩個攻擊者在YouTube平臺上發佈的釣魚信息

(5)Telegram上假裝成2018世界盃直播的羣頻道。

圖3.5     Telegram上使用的假裝世界盃直播頻道

注：此處友情提醒廣大安全友軍，載荷投遞的連接有防盜保護，因此流程有沒有抓取到呢？

圖3.6     Telegram上使用的假裝世界盃直播頻道

(6)在Twitter平臺上，已發現到該組織的四個攻擊者發佈了未定向的多條不一樣內容的釣魚信息進行普遍傳播。

圖3.7     四個攻擊者在Twitter平臺上發起的未定向釣魚攻擊片斷

(7)此外還有一個釣魚網站，目前看其主頁面荒廢了有一陣子，故在此略過。

（二）魚叉攻擊

在Twitter社交平臺上，諾崇獅組織除了使用水坑攻擊進行普遍傳播外，還使用了數十次的定向魚叉攻擊。咱們抽看了其中一些被該組織攻擊的目標帳號，有很多帳號顯示已被凍結或者在以後的很長時間裏沒有再更新過，成了永久的「沉默帳號」。

圖3.8    已發現到的Twitter平臺上該組織最先攻擊者發起的定向攻擊片斷

4、攻擊樣本的誘導假裝形式

諾崇獅組織爲避免攻擊時被用戶察覺到，對攻擊樣本採用了圖標假裝和功能假裝兩種形式。經過圖標假裝攻擊樣本把圖標換成正常應用的圖標；經過功能假裝攻擊樣本除了帶有在後臺進行間諜活動的功能，還帶有正常應用的功能支持在前端界面展示，讓用戶難於察覺。

（一）圖標假裝

攻擊樣本假裝了幾類軟件的不一樣應用：遊戲類應用(「Clash of Clans」和「Ludo」)、直播類應用(「Bigo live」和「worId cup」注:紅色的是大寫的i字母，非字母L) 和一些工具類應用。

圖4.1    惡意攻擊樣本採用的假裝圖標

（二）帶正常應用功能進行假裝

這次攻擊樣本進行帶正常應用功能的假裝採用了兩種假裝方式：一種是經過插包的方式，直接和正常應用整合在一塊兒，整個過程只有一個應用；另外一種是運行後，會釋放出正常的應用包，誘導用戶安裝正常應用進行正常使用，而自身再進行隱藏圖標，在後臺進行間諜活動，整個過程實際有兩個應用。

5、攻擊樣本分析

至今，諾崇獅組織在其歷史攻擊活動裏已使用了四種移動端的RAT，包括開源的RAT（AndroRat）和三種商業RAT（SandroRat、SpyNote及MobiHok）。這些RAT都是很成熟的間諜木馬，用戶手機一旦安裝即刻能被攻擊者徹底控制。

（一）Androrat

Androrat是一款開源在GitHub上的遠程管理工具，包含有基本的遠控功能，且能夠根據自身能力擴展更豐富的監控功能，支持攻擊者在PC上對受害用戶手機進行遠程操控。

圖5.1    Androrat被控端代碼結構(左)和控制端管理界面(右)

（二）DroidJack

Droidjack是一種很是流行的商業RAT，目前官方售價$210。其功能強大，支持在PC上對手機進行遠程操控，使用很方便。

圖5.2    Droidjack被控端代碼結構(左)和控制端管理界面(右)

（三） SpyNote

SpyNote相似Droidjack，也是一款流行的商業RAT。其支持的功能更豐富些，售價相對更貴，根據不一樣場景需求目前官方有兩種價位($499和$4000)。

圖5.3       SpyNote被控端代碼結構(左)和控制端管理界面(右)

（四）       MobiHok

MobiHok價格不菲,有4種價位($700、$6500、$11000和$20000)，曾是阿·拉伯地區流行的商業RAT，目前已被漢化引入，詳情請參閱咱們此前發佈過的歷史報告《阿拉·伯木馬成功漢化，多款APP慘遭模仿用於攻擊》。

圖5.4       MobiHok被控端代碼結構(左)和控制端管理界面(右)

6、  攻擊組織溯源分析

從整個攻擊中，咱們總結了諾崇獅組織如下特色：

(1)   針對的目標包含：懂阿·拉伯語的人、什葉派人等

(2)   攻擊活動時間活躍在：2015年4月22日（也門干預行動的「OperationRestoring Hope」當天）至2018年9月21日。

(3)   攻擊隊伍較大，有大量的Twitter帳號。

(4)   根據兩個攻擊者間的交流目的是爲了改變評論者，而攻擊後的結果是被攻擊者變成了「沉默帳號」。

圖6.1    Twitter平臺上的兩名攻擊者間的一次交流

(5)   其中一個攻擊者第一條消息向帳號「qahtan_tribe」發了個問候語，「qahtan_tribe」帳號不久前還在使用卡塔尼的頭像，結合該帳號的信息及權力，看起來其甚至有着和Twitter同樣地位的「權限」。

圖6.2    Twitter平臺上的一名攻擊者的首條消息的問候

7、  總結

這次諾崇獅組織的攻擊主要發生在公開的社交媒體平臺。近幾年，公開的社交媒體平臺成爲了某幾個國家電子軍的另外一個戰場，咱們也看到多個社交媒體平臺也都在致力應對，固然咱們也知道這種威脅不是在短時間可以解決避免的，這須要多方配合一塊兒努力纔能有效遏制。

若是你是公開的社交媒體平臺的一名用戶，請務必保持安全防範意識，安裝上必要的官方來源安全防禦軟件，作好我的敏感隱私數據不在公開的社交媒體平臺上或者甚至不公開，不輕易點擊或者接收其餘人發來的圖片、視頻及連接等!

而做爲安全廠商，在這個萬物互聯的時代，如何根據不一樣的客戶場景定製出對應的有效安全防禦產品和策略，作到能及時查殺攔截及發現，作好保障住國家安全、用戶生命財產安全及數據安全，是咱們當下最首要須要攻克的命題，望一塊兒堅決信念，不停探索，共同奮鬥。

附錄：參考信息

《紐·約時報》：Saudis’ Image Makers: A Troll Army and a TwitterInsider

《紐·約時報》：Former Twitter Employees Charged With Spying forSaudi Arabia

《紐·約時報》：Someone Tried to Hack My Phone. TechnologyResearchers Accused Saudi Arabia.

《華盛·頓郵報》：Former Twitter employees charged with spying forSaudi Arabia by digging into the accounts of kingdom critics

公民實驗室(CitizenLab)：Stoppingthe Press

NewYork Times Journalist Targeted by Saudi-linked Pegasus Spyware Operator

《Vice》：How ‘Mr. Hashtag’ Helped Saudi Arabia Spy onDissidents

《貝靈貓》：Lord Of The Flies: An Open-Source InvestigationInto Saud Al-Qahtani

Twitter通告：New disclosures to our archive of state-backedinformation operations

雷鋒網雷鋒網(公衆號：雷鋒網)

雷鋒網版權文章，未經受權禁止轉載。詳情見轉載須知。