# 北非狐(APT-C-44)攻击活动揭露 - 360 核⼼安全技术博客 **blogs.360.cn/post/APT-C-44.html** 10⽉23, 2020 ## 北非狐(APT-C-44)攻击活动揭露 主要发现 近期,360烽⽕实验室联合360⾼级威胁研究院发现⼀起针对阿拉伯语地区的长达三年的多次 ⽹络攻击活动。该攻击活动⾃2017年10⽉开始至今,攻击平台主要为Windows和Android。通 过分析,我们发现此次攻击活动来⾃阿尔及利亚,主要利⽤钓鱼⽹站和第三⽅⽂件托管⽹站进 ⾏载荷投递,并且使⽤社交媒体进⾏传播,受害者主要分布在阿拉伯语地区,其中包含疑似具 有军事背景的相关⼈员。根据此次攻击活动的伪装对象和攻击⽬标,我们认为该组织⽬的是为 了获取情报先机。根据该组织所属国家的地理位置以及其他特点,我们将其命名为北非狐 (APT-C-44)。 ## 载荷投递 北非狐组织载荷投递⽅式主要为钓鱼⽹站和第三⽅⽂件托管⽹站,并且在不同的时间段使⽤了 不同的载荷投递⽅式,我们将该组织的在载荷投递⽅式分为三个阶段。 第⼀阶段时间为2017年11⽉-2018年10⽉,使⽤钓鱼⽹站进⾏载荷投递。 第⼆阶段时间为2019年5⽉-2019年10⽉,使⽤第三⽅⽂件托管⽹站进⾏载荷投递。 第三阶段时间为2019年10⽉至今,使⽤钓鱼⽹站和第三⽅⽂件托管⽹站进⾏载荷投递。 图1 载荷投递⽅式 ### 钓⻥⽹站 EgChat是⼀款在阿拉伯地区比较流⾏聊天室程序,可以运⾏在Windows和Android平台上。 EgChat官⽹(egchat[.]com)宣称可以提供安全,可靠且易于使⽤的⽹络会议室,并且具有出 ⾊的语⾳质量,快速的视频流以及对聊天室的完全控制。在其官⽹可以下载window版本或者 通过GooglePlay下载Android版本。 ----- 2017年底,北非狐组织制作了⼀个仿冒EgChat官⽹的钓鱼⽹站(egchaat[.]com)进⾏载荷投 递,钓鱼⽹站同样提供了Window平台和Android平台应⽤下载链接,但实际下载的应⽤为该 组织进⾏攻击的RAT⼯具。钓鱼⽹站界⾯与官⽅⽹站只有极少的差异,即钓鱼⽹站将EgChat 写成了EgChaat,如下图。 图2 EgChat官⽹(上)和钓鱼⽹站(下) 2018年6⽉,EgChat开发者停⽌了对EgChat的更新,转⽽开发了⼀款新的聊天室程序Mltqana ⽤以替代EgChat,其官⽹地址(www.mltqana[.]com)也发⽣了变化。 2019年10⽉,北非狐 组织再次制作了⼀个钓鱼⽹站(www.moltqana[.]com)进⾏载荷投递,该钓鱼⽹站仿造了 Mltqana官⽹(见图2)。值得注意的是钓鱼⽹站页⾯不⽀持英语,只⽀持阿拉伯语,从侧⾯ 也说明了其针对⽬标群体分布在阿拉伯地区。 ----- 图3 Mltqana官⽹(上)和钓鱼⽹站(下) ### 第三⽅⽂件托管⽹站 除了使⽤了钓鱼⽹站进⾏载荷投递,该组织还使⽤第三⽅⽂件托管⽹站进⾏载荷投递,在⽂件 托管⽹站页⾯的相关信息中可以发现恶意应⽤已经有16次的下载量了,如下图所⽰。 图4 恶意软件在⽂件托管⽹站详细信息 ### 传播⽅式 北非狐组织主要传播⽅式是社交媒体,传播流程如下图。 ----- 图5 传播流程 2018年2⽉北非狐组织创建了⼀个Facebook账号⽤以传播恶意程序,该账号仿冒EgChat官⽅ Facebook账号,后⽂中使⽤Fake EgChat表⽰仿冒账号。Fake EgChat主页与EgChat官⽅主页 ⼏乎⼀致(如下图所⽰),可见Facebook公司针对注册企业账号没有审核机制,正因如此, Facebook也成了APT组织传播恶意程序的常⽤渠道,此前我们揭露的黄⾦鼠组织同样使⽤了 Facebook进⾏传播恶意程序。 图6 Fake EgChat Facebook主页 ----- 图7 EgChat官⽅Facebook主页 在Fake EgChat账号Facebook页⾯上可以发现所有的帖⼦均在传播钓鱼链接和恶意应⽤下载地 址。其中的帖⼦最早可以追溯到2018年2⽉,并且至今仍然在更新相关钓鱼帖,如下图所⽰。 ----- 图8 FakeEgChat发布的相关帖⼦ ## 样本分析 ### Android样本分析 通过钓鱼⽹站和第三⽅⽂件托管⽹站获取的Android样本安装运⾏后会隐藏图标,并且诱导受 害者安装相应的原版聊天应⽤,然后在后台运⾏窃取隐私信息。通过关联发现,Android端攻 击样本主要为Droidjack、SpyNote和SonicSpy三个家族的RAT⼯具。 **Droidjack** Droidjack是⼀款针对安卓⼿机商业RAT⼯具,有⾃⼰的官⽅⽹站。该RAT⼯具主要功能如 下: 可以⽣成⼀个APK,绑定在被控⼿机的任何APP上 可在电脑端控制⼿机,包括浏览、传输、删除⽂件等 可进⾏SMS短信收发和查看功能 可以控制⼿机的电话功能 联系⼈管理 麦克风监听 GPS定位 APP管理 Droidjack控制端界⾯如下图所⽰: ----- 图9 Droidjack控制端界⾯ Droidjack包结构如下图所⽰: 图10 Droidjack包结构 ----- **SpyNote** SpyNote类似Droidjack,也是⼀款针对安卓⼿机商业RAT⼯具,但是SpyNote的功能更加强 ⼤,其主要功能如下: 可以⽣成⼀个APK,绑定在被控⼿机的任何APP上 可在电脑端控制⼿机,包括浏览、传输、删除⽂件等 可进⾏SMS短信收发和查看功能 可以控制⼿机的电话功能 联系⼈管理 麦克风监听 GPS定位 APP管理 ⽂件管理 查看⼿机系统信息 命令⾏控制 SpyNote控制端界⾯如下图所⽰: ----- 图11 SpyNote控制端界⾯ SpyNote包结构如下图所⽰: 图12 SpyNote包结构 **SonicSpy** SonicSpy是商业RAT⼯具SpyNote的⼀个变体,最早出现在2017年2⽉,整个SonicSpy系列产 品⽀持73种不同的远程指令,其主要功能如下 以静默⽅式录制⾳频 使⽤相机拍照 拨打电话 向攻击者指定的号码发送短信 获取通话记录 获取联系⼈ 获取Wi-Fi信息 获取位置信息 ----- 获取通知栏消息 获取短信 操作剪切板 执⾏远程命令 SonicSpy包结构如下图所⽰: 图13 SonicSpy包结构 ### PC样本分析 钓鱼⽹站对应的PC端样本,通过对原版聊天应⽤打包并在其中附加houdini RAT脚本⽂件,在 样本安装的同时运⾏恶意脚本,窃取各种隐私数据。通过关联发现,该组织PC端主要使⽤了 Houdini RAT、XtremeRAT、Hallaj Pro RAT、RevengeRAT四个家族的RAT⼯。 通过对样本的最早可能利⽤时间分析,我们发现攻击者最早17年初利⽤的是Hallaj Pro RAT, 随后开始加入XtremeRAT,在18年初开始利⽤Revenge-RAT,Houdini RAT属于脚本RAT, 无法发现编译时间,我们猜测在2017年底伪装⽹站上线时候已经开始利⽤。 可能的最早测试、编译或利⽤时间 **RAT** 2017-01-25 Hallaj Pro RAT 2017-10-22 XtremeRAT 2018-01-03 Revenge-RAT **houdini RAT** ----- Houdini RAT由个⼈编写,国外安全⼚商认为作者来⾃阿尔及利亚,并且通过共享代码库发现 该RAT与njw0rm和njRAT / LV的作者njq8有联系,曾被⽤于针对国际能源⾏业的针对性攻 击,已被APT-C-37组织使⽤过,其主要功能如下: 执⾏指定命令 更改恶意软件配置。例如,动态DNS名称 从系统中删除恶意软件并清除所有快捷⽅式.lnk 上传⽂件 将⽹站上托管的⽂件复制到受害者 下载⽂件 枚举磁盘信息 枚举所有⽂件和⽬录 枚举进程 cmd命令 删除指定⽂件或⽬录 关闭指定进程 休眠 代码⽚段如下图所⽰: ----- 图14 Houdini RAT代码⽚段 **XtremeRAT** XtremeRAT从2010年开始被开发,是⼀款专业的商业间谍软件,功能丰富,⽬前XtremeRAT 已经开源 https://github[.]com/mwsrc/XtremeRAT ,因为可以任意修改、编译⽽被广泛使 ⽤。其主要功能如下: ⽂件管理 进程管理 CMD命令 键盘记录 服务管理 注册表管理 代码⽚段如下图所⽰: ----- 图15 XtremeRAT代码⽚段 **Hallaj Pro RAT** Hallaj Pro RAT fixed最近刚被国外⼚商报告⽤于中东地区威胁攻击,Hallaj是著名的NJRat Trojan的修改版,NJRat Trojan也是中东的地区经常被使⽤的RAT,已被拍拍熊(APT-C37)、黄⾦鼠(APT-C-27)等APT组织使⽤。其主要功能如下: 键盘记录 CMD命令 上传⽂件 代码⽚段如下图所⽰: 图16 Hallaj Pro RAT代码⽚段 **Revenge RAT** Revenge RAT的第⼀个版本由阿拉伯语恶意软件程序员Napoleon于2016年6⽉28⽇发布,在 地下⿊客论坛免费分享。RevengeRAT已经被多个APT组织广泛利⽤。⽽且其源代码曾经被泄 漏过。其主要功能如下: ⼼跳包 获得当前窗⼜标题 设置注册表 执⾏内存恶意代码 代码⽚段如下图所⽰: ----- 图17 Revenge RAT代码⽚段 样本编译时间分析 下图显⽰的是样本的编译时间,其中有⼀些RAT是公开模块⽣成,编译时间统⼀。可以看出攻 击从2017年末开始,其中包含有⼤量测试样本,样本编译数量较多,攻击处于准备阶段,到 2018年始终保持样本的迭代,之后样本功能稳定。 图18 样本编译时间 ## 受害者分析 2018年1⽉8号⼀个Facebook⽤户分享了钓鱼⽹站创建的聊天室地址(该聊天室地址已失 效)。对该⽤户相关信息进⼀步分析,我们猜测其为此次攻击的受害者,并且该分享帖中的评 论⽤户可能也是相关受害者。该受害者位于阿尔及利亚,根据该⽤户点赞的相关账号,我们认 为其可能是阿尔及利亚国民军伤残退役⼈员。 ----- 图19 受害者分享的聊天室地址 ----- 图20 受害者点赞的账号 在该组织发布的钓鱼帖⼦中,我们发现了另⼀个受害者,该受害者声称已经安装了该组织提供 的软件,但是最终给出了未安装应⽤的提⽰,⽽实际上这是间谍软件隐藏图标的常规⼿法。通 过分析该受害者相关信息,可以确定其位于约旦。 ----- ----- 图21 钓鱼帖⼦下⾯的求助信息 在该组织Facebook⾸页可以看到有数百位⽤户关注该账号,结合前⾯提到的第三⽅托管⽹站 的下载次数,此次攻击活动中的受害者可能多达数百。 图22 仿冒EgChat官⽅Facebook⾸页 ## 归属分析 2013年国外安全⼚商批露信息显⽰,Houdini远控开发者来⾃阿尔及利亚。⽽此次攻击中同样 使⽤了Houdini远控,并且攻击活动中所使⽤的两个钓鱼⽹站注册信息显⽰归属于阿尔及利 亚,并且其中⼀个钓鱼⽹站的注册邮箱后缀归属法国。阿尔及利亚官⽅语⾔为现代标准阿拉伯 语,国内通⽤阿尔及利亚阿拉伯语,⽽法语则因殖民历史原因成为国家⾏政、贸易和教育领域 的专⽤语⾔。因此,我们推测此次攻击者位于阿尔及利亚。 ----- 图23 钓鱼⽹站信息 进⼀步通过360威胁情报中⼼(https://ti.360.cn/)域名解析该组织的CC(voly.ddns.net),发 现近期解析的IP均在 41.105.0.0 - 41.105.255.255范围内,⽽该IP段归属阿尔及利亚。基于以 上原因,我们将此次攻击活动归属于阿尔及利亚。 图24 360威胁情报域名解析 ----- 图25 域名解析的IP归属阿尔及利亚IP段 ## 总结 阿拉伯剧变给阿拉伯国家政治发展带来了新的挑战,这包括政治版图的碎⽚化、政治安全的跨 国化、恐怖主义的国际化和危机传播的⽹络化等问题。阿尔及利亚作为非洲北部的⼀个阿拉伯 国家,无疑也⾯临这这些挑战。近年来,该国深受恐怖动乱之害,对恐怖活动保持⾼压打击态 势。此次北非狐组织(APT-C-44)⽹络攻击活动中使⽤的伪装对象具有较强的针对性,⽬标 ⼈群对聊天应⽤安全性要求比较⾼,结合以及阿尔及利亚国内的政治状态,我们推测此次攻击 活动主要为了通过⽹络攻击活动占领情报先机,防⽌恐怖主义冒头,从⽽维护国家政治稳定。 随着智能⼿机⾏业的⾼速发展,各种技术的迭代更新,⼿机功能变得更强⼤,智能⼿机逐渐成 了⼈们⼯作⽣活中必不可少的⼯具。因此将会有越来越多的攻击组织会把移动端作为攻击的必 备⽬标。在这种形式下,国内相关企业需要做好各个平台的安全防护以及相关的安全培训。 ## IOC **样本md5** **Android** 80bbdc982ed7d5728c9005f1713db4c7 8a8b2e08c4087735ca214640f52a7215 f4a2b85463cea2d05ca672069acfa364 ----- 1f6375a4a6cac6a12172c87eff7cafce a228ba347cc2ca2b97f0c1e6e5e07558 fec9ff0cd85e820ac779ea25e3fefb24 **PC** 6ecd6914eb992734dfbca11cd41afb07 d6ba589af24ff96e9c1f356398243156 ca0697a4cb47108dc2322b09de1868e0 be6e448595e3a98ddd11c3cfb49e51e6 bd4d1f6a435639fc6f01af26237e0a31 e846dc1ab2fdeae0f02faf9f92626a9e f68578468ff8fd930079871643277b9e dc32f1e2c8e46a283522f680689df577 9da77984d89f70705f9fa9c7dd904f5a a6bea852441fd3a2658d4882f1823492 98bc19c0196a9e12a334adf5c505a78d 9e1ef7349b74d0be83d7374909937c47 32e3e9106c57f1089c136fe78dfe5e38 57ac433c6ae67fa45699b8b08fb04142 ec9ccaf9a8e0421748c3460f76289a48 10335258e279c1ec346e9bedae2776dd d7f7a907cd1dc1d34695759d4669409b 7958aab62e49c69ef8f64765a377788c de7cfef57b848a8d7f0a1d4828d6f1ed 72425aac85ead205e3d26392fb414e1d ----- 04b37c5776e2a2424d47472fc3e9aaf5 fe8b2df29417a27881f4727c35aae61e 291d4bdbab778d045aedd11788762e82 81b910bed85a80781aafadde79832405 c238894641abfeb9411f7e9ffb1999f4 6f7b51344e8956325859a2ec37ac2d25 ce0f944b84b823e1267175d6b4f5cdbd f67674f89e1c9727ea6aeffd71949748 1455f631b08b4c7a4ae1c5c8c319d64f 508c7f8c30c558c3c5bdbdb3f6a8b1c9 78fc9320dc84109cd50d17379fada888 **C&C** https://voly.ddns[.]net http://egchaat[.]com(已失效) http://www.moltqana[.]com **PDB** C:\Documents and Settings\Administrateur\Bureau\1830.pdb C:\Documents and Settings\Administrateur\Bureau\5552.pdb C:\Documents and Settings\Administrateur\Bureau\rexx.pdb C:\Documents and Settings\Administrateur\Bureau\rexx.pdb C:\Documents and Settings\Administrateur\Bureau\s.pdb C:\Documents and Settings\Administrateur\Bureau\yo2.pdb C:\Documents and Settings\Administrateur\Bureau\yo2.pdb C:\Documents and Settings\Administrateur\Bureau\z.pdb ----- c:\Users\Administrator\Desktop\syystme - Copy\syystme\obj\Debug\syystme.pdb c:\Users\Administrator\Desktop\syystme\syystme\obj\Debug\syystme.pdb c:\Users\devil\Desktop\ART\ART\obj\Debug\ART.pdb C:\Users\deviL\Desktop\test\test\obj\Debug\test.pdb C:\Users\devil\Desktop\WindowsApplication1\WindowsApplication1\obj\Debug\system.pdb **参考** [https://ti.360.cn/](https://ti.360.cn/) [https://www.facebook.com/eegchaat](https://www.facebook.com/eegchaat) [https://www.facebook.com/pg/voiceegchat](https://www.facebook.com/pg/voiceegchat) [https://www.facebook.com/100011589727981k](https://www.facebook.com/100011589727981k) [https://www.facebook.com/bashar.basha11](https://www.facebook.com/bashar.basha11) [https://web.archive.org/web/20180605042224/http://egchat.com/egchat/](https://web.archive.org/web/20180605042224/http://egchat.com/egchat/) [https://web.archive.org/web/20180805173429/http://egchaat.com/](https://web.archive.org/web/20180805173429/http://egchaat.com/) [https://top4top.io/downloadf-12180r3ix1-apk.html](https://top4top.io/downloadf-12180r3ix1-apk.html) [本⽂链接:https://blogs.360.cn/post/APT-C-44.html](https://blogs.360.cn/post/APT-C-44.html) -- EOF - ## Comments -----