# 双尾蝎组织（APT-C-23）针对中东地区的最新攻击活动 - 360 核⼼安全技术博客

**[blogs.360.cn/post/APT-C-23_target_at_Middle_East.html](https://blogs.360.cn/post/APT-C-23_target_at_Middle_East.html)**

## ⼀、背景

双尾蝎组织（APT-C-23），是⼀个针对中东地区相关国家的教育机构、军事机构等重要领域进⾏
⽹络间谍活动，以窃取敏感信息为主的⽹络攻击组织。攻击平台主要包括 Windows 与 Android。
该组织的攻击活动最早可追溯到2016年，近年来该组织活动频繁不断被数个国内外安全团队持续追
踪和披露。

2020年2⽉16⽇，以⾊列国防军IDF⽹站称，他们发现哈⻢斯的⼀系列⽹络攻击⾏动，通过制作了
多个聊天⼯具相关的钓⻥⽹站，利⽤社交媒体伪装成美⼥诱骗以⾊列国防军⼠兵下载安装伪装成聊
天⼯具的间谍软件，从⽽窃取以⾊列国防军的隐私信息，并最终认为与APT-C-23组织有关。

近期，360烽⽕实验室发现了与以⾊列国防军曝光的双尾蝎组织攻击⾏动相关的另⼀起⽹络攻击活
动，该活动中使⽤的间谍软件伪装成MygramIM 应⽤，并利⽤钓⻥⽹站进⾏传播，根据⽹站信息，
此次攻击活动仍然针对中东地区。

## ⼆、载荷投递

### （⼀）攻击⽅式

双尾蝎组织在此次攻击活动中使⽤的载荷投递⽅式为钓⻥攻击。此次攻击活动中，双尾蝎组织制作
了了⼀个MygramIM应⽤更新⽹站，该⽹站详细介绍了MygramIM应⽤的相关信息，并且提供了对
应的下载功能。

图1 钓⻥⽹站


-----

该⽹站表⾯上看着制作精美，但是仔细观察，会发现⼤量粗制滥造内容，许多介绍内容完全相同，
并且⼤多数链接⽆法打开，可⻅该⽹站只是双尾蝎组织为此次攻击⾏动临时制作。

图2 钓⻥⽹站粗制滥造内容

通过对钓⻥⽹站进⾏分析，我们发现了⼀段被注释的测试代码，其中⼀个链接指向了⼀个视频⽂
件，该视频⽂件的内容为伊斯兰世界上著名古兰经阅读者Mashary Rashed阅读古兰经，据此我们
推测此次攻击⾏动的攻击区域为中东地区。

图3 ⽹站测试代码


-----

图4 视频内容

### （⼆）伪装对象

此次攻击活动中，双尾蝎组织将攻击样本伪装成了Google Play上的收费应⽤Mygram IM，钓⻥⽹
站上对应⽤的描述与Google Play上Mygram IM的描述内容没有丝毫差别。

图5 Google Play上的Mygram IM

当应⽤启动后提示⽤户安装Google Play上的
Mygram IM，并隐藏⾃身图标，在后台运⾏，如下
图所示

图6 攻击样本启动后界⾯


-----

## 三、功能分析

此次攻击的恶意样本与早期攻击样本类似，包含录⾳、上传⽂件/联系⼈/短信等恶意⾏为，并且都
是通过Google的FCM（Firebase Cloud Messaging）服务和短信下发指令执⾏恶意功能。其中此
次攻击中使⽤短信下发的指令经过了Base64编码，图7展示的为Base64解码后的指令和功能，图8
展示了Firebase Cloud Messaging 下发的指令和功能。

图7 短信指令与功能

图8 FCM指令与功能


-----

## 四、溯源关联

### （⼀）C&C关联

我们发现此次攻击样本证书签名下的其中⼀个样本的CC（rythergannon.info）出现在公开威胁情报
中，并且归属于APT-C-23组织。

图9 公开威胁情报

### （⼆）代码结构

此次攻击样本与早期双尾蝎组织均使⽤Google的FCM（Firebase Cloud Messaging）服务和短信
下发指令执⾏恶意功能。此前其他安全⼚商揭露双尾蝎组织偏爱使⽤演员名进⾏命名，此次攻击样
本使⽤FCM下发的指令名称也使⽤了⼤量演员名，并且存在⼤量相似代码结构，下图展示了早期版


-----

本和此次最新攻击样本窃取短信的代码。

图10 早期代码与最新代码

## 五、总结

⼈是⽹络安全脆弱因素，⽹络攻防最终还是⼈的对抗，从双尾蝎攻击以⾊列国防军到肚脑⾍攻击巴
基斯坦以及此次双尾蝎针对中东地区的攻击活动，都是利⽤钓⻥⽹站伪装成聊天应⽤发起的⽹络攻
击，攻击成败的关键都在于被攻击者的安全意识。安全的本质是⼈与⼈的对抗，相关企业在做好系
统防护的同时也需要提升相关⼈员的安全意识。


-----