请选择 进入手机版 | 继续访问电脑版
游客您好
第三方账号登陆
  • 点击联系客服

    在线时间:9:00-16:30

    客服微信

    318989567

    电子邮件

    admin@chnbeer.com
  • 汽泡菌APP

    发现更多好精酿

  • 扫描二维码

    关注汽泡菌APP公众号

推荐阅读
书剑酿造所 LV.1
未知星球 | 未知职业
  • 关注0
  • 粉丝0
  • 帖子10
精选帖子
开启左侧

美安全公司:叙利亚在搞网络监视,“国家队”干的!

[复制链接]
【精酿爱好者群】加微信拉你进群 318989567

马上注册,进入精酿啤酒的世界。APP下载请搜索:汽泡菌

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

点击蓝色字体,一键关注我们

“ 梦之想 网络安全护航者 


 

总部位于美国加州旧金山的网络安全公司Lookout于近日发文称,该公司旗下安全研究人员发现了一场与叙利亚黑客组织“叙利亚电子军(Syrian Electronic Army)”存在关联的网络监视活动。

 

文章指出,这场监视活动可能开始于2018年1月,针对的是讲阿拉伯语的移动设备用户,涵盖叙利亚本国以及周边地区。在近期的行动中,该组织开始以“新型冠状病毒”作为诱饵,旨在诱使受害者下载恶意APP。

 

最新恶意APP样本

 

最新恶意APP伪装成是一个数字温度计,只需将手指按在屏幕上显示的指纹上方,就能测出实时体温。

 

图1.最新恶意APP样本截图

 

事实上,APP包含一种名为“AndoServer”的恶意软件,通过从C2服务器接收的命令,它能够执行以下行为:

 

  • 截屏

  • 获取电池电量信息以及检测USB是否已插入

  • 报告位置(纬度和经度)

  • 获取已安装的APP列表

  • 启动攻击者指定的APP

  • 检查设备上的摄像头数量

  • 选择要访问的特定摄像头

  • 创建特定的弹出消息(toast)

  • 录音

  • 在外部存储上创建文件

  • 提取通话记录

  • 列出指定目录中包含的文件

  • 拨打电话

  • 提取短信

  • 发送短信到指定电话号码

  • 提取联系人列表

 

同一C2服务器连接到71个恶意APP

 

进一步调查发现,同一C2服务器连接到71个恶意APP,其中有64个包含商业化的间谍软件SpyNote,其他还有SandroRat、AndoServer和SLRat。

 

图2.恶意APP示例

 

研究人员表示,所有这些APP均未出现在类似Google Play这样的官方应用商店中,这表明它们可能是通过被黑的网站或第三方应用商店分发的。

 

为什么说这些APP出自叙利亚电子军之手?

 

研究人员解释说,并非所有在这场监控活动中使用的恶意APP都被清除了敏感信息。例如,有很大一部分SpyNote样本都将C2信息、版本号以及其他信息存储在了“res/values/strings.xml中”。

 

在这些APP的strings.xml文件中,有22个都引用了“Allosh”,而这个名称此前就曾被叙利亚电子军使用过。例如,“c:\users\alloshhacker\documents\visual studio2012\Projects\allosh\allosh\obj\Debug\Windows.pdb”和“c:\Users\AlloshHacker\Desktop\Application\obj\Debug\Clean Application.pdb”

 

图3.strings.xml文件截图

 

叙利亚电子军是何来历?

 

据称,叙利亚电子军成立于2011年5月,主要任务就是攻击叙利亚政府的“敌人”。

 

图4.百度百科关于“叙利亚电子军”的介绍

 

在2013年10月,叙利亚电子军就曾声称黑掉了前任美国总统奥巴马的个人网站,以及Twitter、Facebook账号和电子邮箱。

 

在当时,点击被黑网站会跳转到SEA的一个网站,上面写着“Hacked by SEA”。

 

图5.跳转页面

 

点击Twitter和Facebook上面发布的几条链接,全都会被重定向到一个显示叙利亚真实现状的视频。

 

图6.重定向链接

 

从当时该组织分享的截图来看,他们还登陆了奥巴马的Gmail:

 

图7.Gmail截图

 

在2014年3月,叙利亚电子军还声称入侵了美军中央指挥部,并公布了包含2万多文件的军方在线知识库(Army Knowledge Online,AKO)服务器的文件目录。


图8.文件目录

在同年的感恩节当天,叙利亚电子军更是入侵了美国各大热门媒体网站,并在网站的页面上挂出一个窗口,上面写着“你已经被SEA黑了”。

 

图9.感恩节“特制”窗口


叙利亚电子军最近也一直非常活跃,他们的一个Twitter帐户分别于本月2日和7日声称对比利时媒体DDoS攻击事件以及PayPal和eBay网站入侵事件负责。

 

10.@Official_SEA7最近发布的两项声明

 

IOCs(恶意APP的SHA1哈希值)

 

1aefc2ebaf1a78f23473ce6275b0b514bbcdfb08
213b7f8c3f26a87b116927143289886742b979a1
321682c8395216b6f71ac1f4a1188040bbddfeb4
8cae26c899440f890a8faca2e63ba42c0195cd3b
ccb143b25cedf043a8be46a1f3c3f8a0a3e4c2b2
61ecf4d82246a22dc2d390eca1e20abd6b961083
1e30cc843a32db0296502795781f8064adbceee6
a07370617fa695b047359ac345375d05a7135da0
915e3470e5ab85cb1fe565484b15004a19e88da6
3bfa1b4d98c02c43e7b3af9e536dbcd79e0b9197
d14bb8de94e6f6a733b0962c6d0847376286874f
3c5fd8b163b32cde47dd50c4b61ab087c0cad8d4
4dcc2d9ef4921b3eb4e4dc72dd3716520d558102
07c1edf35c60ea6f2ff02df6e0bfa24abb3029c1
50c607a138e33c8cbdcf2f617f61095b7efa06da
b1a9bc32ece469d7e2d43e894e68cb3bec17ac82
34cb80d4e5d19fcaf724b73aacfebbb19c79337e
c21919c6064c739533878da39d0feaf83e99f586
a62250430da13436b80a62f6a1fee67ed0050e37
246a17230dbe8a5c533231fa1da80d977985b111
358653280acdfd84b6ca326c9b06d12878af69c8
4ec39acfc6f3f9715d0d0e2b0a2f7121d617b605
9f09a4868f61d174ad075e5acaa8d849294dbf69
8952bdf2e3d777d01011e6f8619fca8835e8c434
b9dffff37efbfb8e577ee242c8807db967704a0d
5f6019eae4a16abd11d981b2da5d4ef05115a5c4
0b7cf990bb0dc62dd44d9fa6410ca591dfe47a5d
08162ad39a6237e4eebacf764a5ca6158816a86e
f2fb9826da43f92ff69686f999f205502a33342c
c2e5287433a0e3c7d059494e65b87c3c36f74a47
c7405d85a78a62003494f398084cff8f1794e2ab
16c9ef6ed5af0855a3e6b963ff9c2d65d70de11e
bae5c56d3cd888ec19c42bf5d782de327d012a37
34cc91ad64f52420b6e1531c097ac1602af1f089
00455a4652faf751753b5ebfbb0656bee530f4ef
b263eec151b11d0a6ebcfcf37b3b98458d2d530c
18cc448d71437e7a72558f6680ff10fb234fc64f
6a68f8d962adae7d767b6dfeb2d5b90be412b1f1
0fdc50226a7eb9aee6e6422907425d4531290374
aa43f78a2667909546c3cd993a2940b076634379
5b2e709dfc95e9fc4e4343b92c76cc2193acd49a
e6962b122e14e59c7c88a25d405d6c653b31590e
9c83fdecc8429bc278d03116ca9e2cff5013987e
53653984310845988103051e7acf4ed336150b99
18451fc0e8fbe878f242e7ee1834091c455f8fc1
0f7bf07352b4d1852f651dda350fd446b3477740
615863ce030f3de3e377352637d6ecc55dfd185a
b46b241620a4d5682e9083ce726827fdbf4a96e5
ab259f11163ea51767a6b17855bc0e79a8ae96e4
447165f88f951f8d26bc721f3047533a54f59ce0
29e04da270da0a6bedfcaee3f6fe8251d6cdef31
6cebf3c27fb348272b72041451b232f78190f83d
e99ebc998ab63026b9b40fff55037c1b69a80369
ddf2b474a0ed1b47278d00872a84d2a2405cc33c
01963c9c70102961cb8b424f623e9be32d7b255b
8d664c9753f7bf65a8cce69dca5486971d1f06ca
2d01b7691ce5647e60c566eda33166bf2e9bcc53
44d8bc4406227aeec9711b74f771c05ddfd3d173
0c04da70ba0771734f99eba05a5676713675d0e8
37e11e1a45f166b16170e8d649c3b75ee93e90a8
dbfbfe43f04c58bcf5daa71df61dcc354bbf2d27
dc3778ffb7399e009a287983f0113e15fd8b227e
1a0a65e6b4a2c42e5dc3d7db2179c04952a03948
69f475024e006b51f7ec6a1990bad460fe9805f0
a32900a79d459da90e49ee8acf23dcfd03bfcb4b
5c8bf130f8e5c7756674a6d376dd7f25fbded4e4

 

 

本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

想了解相关安全技术,请搜索“墨者学院”,或直接访问“www.mozhe.cn”。

180.jpg
——我不是懒,我只是懒得签名而已。PS:汽泡菌
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2020 汽泡菌®精酿啤酒APP Whale shark Technology Co.,Ltd ( 陕ICP备19021550号 )|网站地图