# 奇安信威胁情报中⼼

**[ti.qianxin.com/blog/articles/who-is-the-next-silent-lamb-nuo-chong-lions-apt-organization-revealed](https://ti.qianxin.com/blog/articles/who-is-the-next-silent-lamb-nuo-chong-lions-apt-organization-revealed/)**

# ⼀. 概述

⽆论物理还是⽹络空间的对抗，中东从来都是⾼度活跃的区域，奇安信红⾬滴团队也⼀直保持着关
注。基于⻓期的分析整理，本⽂公开⼀波持续⼏年的定向攻击活动及背后的团伙，值得分享到安全
社区以增进我们对地缘政治背景下的⽹络⾏动的理解。

⾃名为“Operation Restoring Hope” 的也⻔⼲预⾏动当天，也就是2015年4⽉22开始，截⾄2018年
世界杯结束后的数⽉⾥，有⼀个⽹络攻击组织⼀直持续针对阿拉伯⽤户、什叶派及评论⼈⼠进⾏展
开攻击，在攻击后我们发现不少被攻击的社交平台账号变成“沉默账号”，在⽬前已知的APT组织中
均未发现和该组织有重叠，因此奇安信红⾬滴把其归属为⼀个新的组织：诺崇狮组织。

有⼀句话这样形容Dota游戏⾥的⼀名⻆⾊⼈物----沉默术⼠(诺崇)：⼀切魔法，遭遇了他，都将归于
寂静。其后半句⽤在该攻击组织上相当吻合，再加上该组织的震慑⼒和其中的配合如同狮群，故我
们将其命名为诺崇狮组织。随着该组织所属相关领导者近期可能发⽣的变动，该组织有可能会再度
活跃。

⽬前已经关联到的攻击活动时间线总结如下：

图1.1 诺崇狮组织在多个⽹站和社交平台上发起攻击的时间线

# ⼆. 背景介绍

诺崇狮组织掌握有⼀个由⼤量机器⼈及雇佣⽽来的成百上千名年轻⼈组成的虚拟团队，⽤于传播虚
假信息和亲政府宣传进，⻓期以来其⼀直专注于监视攻击，使国内外的批评者保持沉默，其能够利
⽤昂贵的间谍软件瞄准⽣活在世界另⼀端的持不同政⻅者。

Twitter是该组织的主战场，因为Twitter被当作⼴受欢迎的新闻发布平台。诺崇狮组织可能培养了两
名Twitter员⼯，尝试访问持不同政⻅者和激进分⼦的私⼈信息，包括电话号码和IP。后Twitter在
2015年11⽉11⽇，向⼏⼗个被其中⼀名前Twitter员⼯访问过帐户的所有者发出了安全通知：“作为


-----

预防措施，我们提醒您，您的Twitter帐户是⼀⼩部分帐户之⼀，这些帐户可能是由国家赞助的参与
者所针对的”。在2019年9⽉20⽇，Twitter⼜发出了⼀个新披露通知，宣布永久暂停了⼀个名为卡塔
尼(Saud al-Qahtani)的Twitter账号。

类似的，该组织还会操纵YouTube和Facebook平台，于此就不再展开描述。

# 三. 载荷投递

诺崇狮组织在攻击活动展开期间，红⾬滴团队捕获到其⾄少投⼊近⼗名攻击投递者在多个⽹站和社
交平台上进⾏⾮定向的⽔坑传播式钓⻥攻击及定向⽬标的⻥叉攻击。

## （⼀）. ⽔坑攻击

⾄今已发现有数名攻击者在配合发布钓⻥信息，发布地点涉及了三个⽹站与三个社交平台(视频平
台YouTube、聊天平台Telegram和社交平台Twitter)。钓⻥消息使⽤的语⾔均为阿拉伯语，仅从
YouTube平台进⾏评估，约有万名⽤户可能受到攻击影响。

1. 攻击者在Qassimy游戏⽹站进⾏发布虚假游戏信息，诱导⽤户转向钓⻥⽹站进⾏恶意载荷的

下载。

图3.1 Qassimy游戏⽹站上的钓⻥信息

2. 在Gem-Flash⽹站进⾏发布虚假游戏信息，诱导⽤户进⾏恶意载荷的下载。攻击者

(“wafa3”应该和Qassimy上发布的为同⼀个，此次钓⻥信息⾥还带有指向YouTube的⼀个引
链。


-----

图3.2 Gem-Flash⽹站上的钓⻥信息

3. 世界杯期间，在ADSGASTE数字⻔户⽹站进⾏发布虚假的世界杯播放应⽤信息，诱导⽤户转

向钓⻥⽹站进⾏恶意载荷的下载。


-----

图3.3 ADSGASTE数字⻔户⽹站上的钓⻥信息

4. 在YouTube平台上，⽬前已发现到有两个钓⻥攻击者；其中名叫“Nothing”的攻击者，发布了

四次钓⻥信息，按观看数进⾏评估，约有万名YouTube⽤户收到钓⻥信息。另外，值得注意
的是该攻击者在YouTube上发布的其中⼀个钓⻥信息地址被上⾯Gem-Flash⽹站的名
为“wafa3”的攻击者使⽤在其钓⻥信息中当做引链，类似的还可以经常看到该组织下不同钓⻥
攻击者之间的相互配合。


-----

图3.4 两个攻击者在YouTube平台上发布的钓⻥信息

5. Telegram上伪装成2018世界杯直播的群频道。


-----

图3.5 Telegram上使⽤的伪装世界杯直播频道
注：此处友情提醒⼴⼤安全友军，载荷投递的链接有防盗保护，所以流程有没有抓取到呢？

图3.6 Telegram上使⽤的伪装世界杯直播频道

6. 在Twitter平台上，已发现到该组织的四个攻击者发布了未定向的多条不同内容的钓⻥信息进

⾏⼴泛传播。

图3.7 四个攻击者在Twitter平台上发起的未定向钓⻥攻击⽚段

7. 此外还有⼀个钓⻥⽹站，⽬前看其主⻚⾯荒废了有⼀阵⼦，故在此略过。

## （⼆）. ⻥叉攻击

在Twitter社交平台上，诺崇狮组织除了使⽤⽔坑攻击进⾏⼴泛传播外，还使⽤了数⼗次的定向⻥叉
攻击。我们抽看了其中⼀些被该组织攻击的⽬标账号，有不少账号显示已被冻结或者在之后的很⻓
时间⾥没有再更新过，成了永久的“沉默账号”。


-----

图3.8 已发现到的Twitter平台上该组织最早攻击者发起的定向攻击⽚段

# 四. 攻击样本的诱导伪装形式

诺崇狮组织为避免攻击时被⽤户察觉到，对攻击样本采⽤了图标伪装和功能伪装两种形式。通过图
标伪装攻击样本把图标换成正常应⽤的图标；通过功能伪装攻击样本除了带有在后台进⾏间谍活动
的功能，还带有正常应⽤的功能⽀持在前端界⾯展现，让⽤户难于察觉。

## （⼀）. 图标伪装

攻击样本伪装了⼏类软件的不同应⽤：游戏类应⽤(“Clash of Clans”和“Ludo”)、直播类应⽤(“Bigo
live”和“worId cup”注:红⾊的是⼤写的i字⺟，⾮字⺟L) 和⼀些⼯具类应⽤。

图4.1 恶意攻击样本采⽤的伪装图标

## （⼆）. 带正常应⽤功能进⾏伪装


-----

此次攻击样本进⾏带正常应⽤功能的伪装采⽤了两种伪装⽅式：⼀种是通过插包的⽅式，直接和正
常应⽤整合在⼀起，整个过程只有⼀个应⽤；另⼀种是运⾏后，会释放出正常的应⽤包，诱导⽤户
安装正常应⽤进⾏正常使⽤，⽽⾃身再进⾏隐藏图标，在后台进⾏间谍活动，整个过程实际有两个
应⽤。

# 五. 攻击样本分析

⾄今，诺崇狮组织在其历史攻击活动⾥已使⽤了四种移动端的RAT，包括开源的RAT（AndroRat）
和三种商业RAT（SandroRat、SpyNote及MobiHok）。这些RAT都是很成熟的间谍⽊⻢，⽤户⼿
机⼀旦安装即刻能被攻击者完全控制。

## （⼀）. Androrat

Androrat是⼀款开源在GitHub上的远程管理⼯具，包含有基本的远控功能，且可以根据⾃身能⼒扩
展更丰富的监控功能，⽀持攻击者在PC上对受害⽤户⼿机进⾏远程操控。

图5.1 Androrat被控端代码结构(左)和控制端管理界⾯(右)

## （⼆）. DroidJack

Droidjack是⼀种⾮常流⾏的商业RAT，⽬前官⽅售价$210。其功能强⼤，⽀持在PC上对⼿机进⾏
远程操控，使⽤很⽅便。

图5.2 Droidjack被控端代码结构(左)和控制端管理界⾯(右)


-----

## （三）. SpyNote

SpyNote类似Droidjack，也是⼀款流⾏的商业RAT。其⽀持的功能更丰富些，售价相对更贵，根据
不同场景需求⽬前官⽅有两种价位($499和$4000)。

图5.3 SpyNote被控端代码结构(左)和控制端管理界⾯(右)

## （四）. MobiHok

MobiHok价格不菲,有4种价位($700、$6500、$11000和$20000)，曾是阿拉伯地区流⾏的商业
[RAT，⽬前已被汉化引⼊，详情请参阅我们此前发布过的历史报告《阿拉伯⽊⻢成功汉化，多款](https://ti.qianxin.com/blog/articles/arab-trojan-successfully-localized-many-apps-were-mimicked-for-attack/)
[APP惨遭模仿⽤于攻击》。](https://ti.qianxin.com/blog/articles/arab-trojan-successfully-localized-many-apps-were-mimicked-for-attack/)

图5.4 MobiHok被控端代码结构(左)和控制端管理界⾯(右)

# 六. 攻击组织溯源分析

从整个攻击中，我们总结了诺崇狮组织以下特点：

1. 针对的⽬标包含：懂阿拉伯语的⼈、什叶派⼈等
2. 攻击活动时间活跃在：2015年4⽉22⽇（也⻔⼲预⾏动的“Operation Restoring Hope”当天）

⾄2018年9⽉21⽇。
3. 攻击队伍较⼤，有⼤量的Twitter账号。
4. 根据两个攻击者间的交流⽬的是为了改变评论者，⽽攻击后的结果是被攻击者变成了“沉默账

号”。


-----

图6.1 Twitter平台上的两名攻击者间的⼀次交流

5. 其中⼀个攻击者第⼀条消息向账号“qahtan_tribe”发了个问候语，“qahtan_tribe”账号不久前还

在使⽤卡塔尼的头像，结合该账号的信息及权⼒，看起来其甚⾄有着和Twitter⼀样地位的“权
限”。

图6.2 Twitter平台上的⼀名攻击者的⾸条消息的问候

# 七. 总结

此次诺崇狮组织的攻击主要发⽣在公开的社交媒体平台。近⼏年，公开的社交媒体平台成为了某⼏
个国家电⼦军的另⼀个战场，我们也看到多个社交媒体平台也都在致⼒应对，当然我们也知道这种
威胁不是在短期能够解决避免的，这需要多⽅配合⼀起努⼒才能有效遏制。

如果你是公开的社交媒体平台的⼀名⽤户，请务必保持安全防范意识，安装上必要的官⽅来源安全
防护软件，做好个⼈敏感隐私数据不在公开的社交媒体平台上或者甚⾄不公开，不轻易点击或者接
收其他⼈发来的图⽚、视频及链接等!

⽽作为安全⼚商，在这个万物互联的时代，如何根据不同的客户场景定制出对应的有效安全防护产
品和策略，做到能及时查杀拦截及发现，做好保障住国家安全、⽤户⽣命财产安全及数据安全，是
我们当下最⾸要需要攻克的命题，望⼀起坚定信念，不停探索，共同奋⽃。

附录A：IOC

### C2

 samsung.apps.linkpc.net


-----

### MD5 AppName CreateTime

 ae6f0bd64ed0f2280c9d19a8108c3ae9 WiFiKill 2013-09-18 00:23

 0b972efbaa5338d103f705b307a1d816 WiFiKill 2015-04-14 16:01

 9f5626d244e29b546416cc9bba70bdbc Clash of Clans 2015-04-22 09:40

 58723a625eab5a3ba9e909e881cdb4e5 ����ا وزارة 2015-05-22 19:38

 ced33d5b11980bdfa4f859a1dbcb2153 ����ا وزارة 2015-06-10 01:38

 349e95ac3c12cf762c66ad264af552e7 healthfinal33 2015-06-10 03:40

 17296ce181160cd963b0f32f747204e5 Ludo Stat 2017-09-14 03:39

 ddf29d64a2c197f8a062c448ebf7ac19 Iudo 2017-09-17 01:13

 e48f99bb1720f64fe71ab091193e7bf8 Zudo 2017-09-18 04:02

 62dcc4b974c156c684296dfff549d93d zLudo 2017-09-19 06:55

 d0213982edff32f2137ec946d1160fc3 yLudo 2017-09-20 02:48

 1b7ce26fd5abd604c99ed0b0681455db Avast 2017-09-22 07:40

 ff34287974df6b7dc982c0d925eb9f76 Avast 2017-09-22 09:30

 57926dd755016e11c98e9e9e43bb20c9 Avast 2017-09-25 16:53

 ed8507053e3e02d3701bf9c94da2902d Avast 2017-10-03 17:10

 0b878cbc90814a4d5b09686b1cf61254 avast anti virus 2017-10-13 00:27

 07ad82252e0f4971a7e2774480969bb5 Avas 2017-10-28 23:13

 4f0f7186c88b92f701b5a64abce50486 Avast 2017-11-02 18:29

 85bd302eb656bbad1339d5a6e93352e4 Avas 2017-11-02 20:01

 2443e314d22251947f92c388479e7a34 Zavas 2017-11-03 01:09

 e69a562296cd658192c3ad363bfc1d19 Zndroid 2017-11-10 01:39

 12f433f958f9853c152ec1c9b27c6b28 Android 2017-11-10 04:20

 bd2506b148cf8c56265405d4cfb2bfe0 zLudo 2017-11-11 10:04

 d3062991398f87a229159f679741a8f9 Zone 2017-11-16 01:28

 5220de45a564dc611d95be366092716b App 2018-01-21 08:34

 f83c777e447cbac0e774771c8b46695d Bigo live 2018-02-01 00:33

 5e4d10552edd2870ed0d1006deb398d1 worId cup 2018-07-07 19:52


-----

### b7681f2e94920bf46ba23417d31c860b worId cup 2018-07-11 19:59

 536da24fd43587477357e3bb92f0507e Snapchat 2018-07-13 00:45

 ea5c8f89d0b33ed70495c0b63cee06c6 uSnapChat 2018-07-17 00:51

 b0bdb1e3ee0b7fd048ad982684227133 Player 2018-08-02 18:45

 c883c5c8dac7e3b71898fdaa67fae3c9 avast anti virus 2018-08-06 18:25

 f88569ba93c08ab1e27824c293493c7d Player 2018-08-13 01:36

 FileMd5 DownloadUrl

 0b972efbaa5338d103f705b307a1d816 http://cdn.dosya.web.tr/KXydpR/wifikillfinal3_9.apk

 9f5626d244e29b546416cc9bba70bdbc http://cdn.dosya.web.tr/Oe9YnO/clash2015.apk

 b7681f2e94920bf46ba23417d31c860b http://ludo.ezyro.com/cup.apk


### b0bd‐ b1e3ee0b7fd048ad982684227133


### http://ludo.ezyro.com/FB.apk


### f88569ba93c08ab1e27824c293493c7d http://ludo.ezyro.com/you.apk

 e69a562296cd658192c3ad363bfc1d19 http://ludo.ezyro.com/SMS.apk

附录B：参考信息

[《纽约时报》：Saudis’ Image Makers: A Troll Army and a Twitter Insider](https://www.nytimes.com/2018/10/20/us/politics/saudi-image-campaign-twitter.html)

[《纽约时报》：Former Twitter Employees Charged With Spying for Saudi Arabia](https://www.nytimes.com/2019/11/06/technology/twitter-saudi-arabia-spies.html)

《纽约时报》：Someone Tried to Hack My Phone. Technology Researchers Accused Saudi
Arabia.

《华盛顿邮报》：Former Twitter employees charged with spying for Saudi Arabia by digging into
the accounts of kingdom critics

[公⺠实验室(CitizenLab)：Stopping the Press](https://citizenlab.ca/2020/01/stopping-the-press-new-york-times-journalist-targeted-by-saudi-linked-pegasus-spyware-operator/)

[New York Times Journalist Targeted by Saudi-linked Pegasus Spyware Operator](https://citizenlab.ca/2020/01/stopping-the-press-new-york-times-journalist-targeted-by-saudi-linked-pegasus-spyware-operator/)

[《Vice》：How ‘Mr. Hashtag’ Helped Saudi Arabia Spy on Dissidents](https://www.vice.com/en_us/article/kzjmze/saud-al-qahtani-saudi-arabia-hacking-team)

[《⻉灵猫》：Lord Of The Flies: An Open-Source Investigation Into Saud Al-Qahtani](https://www.bellingcat.com/news/mena/2019/06/26/lord-of-the-flies-an-open-source-investigation-into-saud-al-qahtani/)

[Twitter通告：New disclosures to our archive of state-backed information operations](https://blog.twitter.com/en_us/topics/company/2019/new-disclosures-to-our-archive-of-state-backed-information-operations.html)


-----