漫游螳螂黑客组织针对欧洲苹果账户与安卓设备的攻击活动分析

本文详细分析了RoamingMantis黑客组织近期针对欧洲国家发起的网络攻击活动,包括通过钓鱼网站传播Android恶意软件FakeCop以及对Apple ID账户的钓鱼攻击,揭示了该组织的技术手段和攻击规模。

背景

自2017年以来,RoamingMantis网络犯罪组织已在多个信息安全会议和博客中被广泛讨论和分析。该组织已知通过以下恶意软件家族感染Android操作系统受害者:FakeCop、FakeSpy、MoqHao和FunkyBot。这些恶意软件旨在让犯罪分子能够访问受害者的Android操作系统设备,以进行进一步的金钱欺诈。迄今为止,该组织主要专注于亚洲国家。虽然它在2018年也曾攻击欧洲,但我们发现这些新攻击活动比以往更有组织性。

图片说明 上图出现在每个FakeCop恶意软件的控制面板上

这种特洛伊木马通常通过垃圾短信传播,包含各种不同虚假网站的链接,诱使受害者下载并安装恶意组件——在本例中为FakeCop。

过去也曾发现通过官方GooglePlay商店感染的案例。请参阅参考文献部分,查找对该组织使用的每个恶意软件家族进行技术分析的文章,以及该组织运营和时间线的摘要。

最近的事件暴露了该组织的新野心,特别是他们希望将欺诈扩展到欧洲国家。具体来说,我们在以下国家观察到了此类攻击活动:丹麦、法国、德国、意大利、荷兰、瑞典和芬兰。除了这些欧盟国家,我们还观察到针对英国、瑞士、巴西和日本移动用户的攻击。通过这次攻击活动,RoamingMantis不仅用恶意软件攻击Android操作系统,还对Apple ID账户进行网络钓鱼。请注意,与Android组件不同,欺诈的iOS部分与任何恶意应用程序无关。

进军欧洲

除了之前使用的垃圾短信外,在这些新增加地区攻击移动设备用户的策略是使用钓鱼网站诱饵。所有这些网站都冒充当地使用的邮政/快递服务。

例如,丹麦的攻击活动涉及一个网站,该网站看起来几乎与PostNord完全相同——这是该国广泛使用的邮政/快递服务。上述其他新目标国家的攻击活动都采用了该国本地流行的邮政/快递服务。

图片说明 FakeCop传播网站的欧洲适应示例

在此类虚假网站上,通常要求受害者输入他们的电话号码。输入后,网站会提供下载并安装APK文件(APK是Android操作系统应用程序包的文件扩展名)。该组织过去在其他地区已成功使用此技术。

Apple ID网络钓鱼

除了扩展到新区域和钓鱼页面策略外,RoamingMantis组织还决定对受害者的Apple ID账户进行网络钓鱼攻击。

图片说明 Apple ID钓鱼页面示例——这些页面显示给运行iOS的用户

不幸的是,钓鱼页面足够准确地模仿了原始网站。因此,我们发现这些钓鱼页面以惊人的速度向犯罪分子提供Apple ID账户名和密码。在某一时刻,我们观察到仅丹麦每小时就有10到15个凭据的流量。然而,在我们观察的第二天,这一速率大大减慢。

数据收集

图片说明 RoamingMantis的FakeCop恶意软件及其欧洲钓鱼活动的后端分布在不同的主机上,每个主机负责为犯罪分子提供用于管理被盗数据的Web用户界面及其背后的数据库。每个钓鱼网站都运行自己的面板,存储从钓鱼活动中获取的数据。

如果任何读者看了上面的截图并立即想起了Krebsonsecurity关于Trump’s Dumps的文章——抱歉,除了使用此设计之外,我们不知道RoamingMantis与其有任何联系。

图片说明 值得注意的是,我们观察到的所有控制面板都提供中文用户界面。说中文的信用卡诈骗者攻击欧洲金融机构是非常不寻常的。

RoamingMantis有多种盈利方案,从比特币挖矿和洗钱到银行欺诈。您可以预期像这样大的组织会利用他们掌握的一切机会来产生收入。

使用这些控制面板,犯罪分子可以更改不同的设置以微调钓鱼活动。我们已对一些截图使用了GoogleTranslate以便于阅读。

图片说明 设计用于攻击丹麦的钓鱼网站设置

图片说明 此用户界面为犯罪分子提供访问从丹麦攻击活动中窃取的数据

同时,主面板上被盗数据记录的ID要大得多,表明其规模(近7,000条记录)。此面板包括来自各种攻击活动的数据:

图片说明 最后,专门用于监控欧盟FakeCop恶意软件数据的用户界面具有不同的设计,但也显示了欧盟受影响的设备数量(近300台)。

图片说明

总结

Roaming Mantis攻击活动通常以大量垃圾邮件形式出现,但现在也具有广泛的区域覆盖范围。以上分析仅覆盖了短短两天观察期内此类攻击活动的一小部分。

冒充邮政/快递服务的技术并不新鲜,网络犯罪分子多年来已在世界各地相当成功地使用它。几乎每个人都时不时地期待包裹递送,并且常常会不耐烦地接收它。犯罪分子总是会利用这种不耐烦,因为当受害者实际期待递送时,钓鱼页面可能显得更可信。

请记住,始终验证您的邮件或其他递送通知的来源。该短信通知中的来电号码与您之前收到不同递送时是否相同?您是否同时收到了电子邮件通知?您能记住或检查您的邮政/递送服务的官方网站名称吗?如果可以,也许您可以手动导航到该页面,而不是单击通知中提供的链接。

请谨慎行事,避免在上下文不应要求时安装任何未知应用程序或输入您的AppleID凭据。您真实的邮政/递送服务最有可能仅通过适用于您设备的官方应用程序商店提供其官方应用程序:对于iOS设备是Apples AppStore,如果您的设备运行Android OS,则是Googles GooglePlay。

参考文献和进一步阅读

https://www.botconf.eu/wp-content/uploads/2019/12/B2019-Ishimaru-Niseki-Ogawa-Mantis.pdf https://www.mcafee.com/blogs/other-blogs/mcafee-labs/moqhao-related-android-spyware-targeting-japan-and-korea-found-on-google-play/ https://securelist.com/roaming-mantis-uses-dns-hijacking-to-infect-android-smartphones/85178/ https://securelist.com/roaming-mantis-dabbles-in-mining-and-phishing-multilingually/85607/ https://securelist.com/roaming-mantis-part-3/88071/ https://securelist.com/roaming-mantis-part-iv/90332/ https://securelist.com/roaming-mantis-part-v/96250/ https://blog.trendmicro.com/trendlabs-security-intelligence/fakespy-android-information-stealing-malware-targets-japanese-and-korean-speaking-users/ https://blog.trendmicro.com/trendlabs-security-intelligence/a-look-into-the-connection-between-xloader-and-fakespy-and-their-possible-ties-with-the-yanbian-gang/ https://www.fortinet.com/blog/threat-research/funkybot-malware-targets-japan https://krebsonsecurity.com/2017/05/trumps-dumps-making-dumps-great-again/ https://twitter.com/ninoseki/status/1273057220586950656 https://twitter.com/ninoseki/status/1249623587574517761 https://twitter.com/papa_anniekey/status/1275759555830407168

IOCs

FakeCop APK SHA256 19e4f566c9193ab381828b390be24b63fc7c5ba32a4799bee2dc2890204f5833 1915ea279e8e5f518e766c9e3363d651891cc4e63951c1dbca0d6e600673d97 2351e1cd5a9f1e39964d6ecddb81623f97ec137192cec3d314c273d31fcb4a10 6359e1c533e8008969031255977493f6d07026879b7a39f3cfd4e8a3615db529 f4d008b863447590fe42cabdcf1ab5d2d9575db503a4d4566a2b298e684817fb5

钓鱼域名: deutschepost .top die-1 .top die-5 .top die-t .top die-u .top die-w .top die-x .top die-y .top kuroneko-b .top kuroneko-c .top kuroneko-d .top kuroneko-e .top kuroneko-f .top kuroneko-h .top kuroneko-i .top kuroneko-k .top kuroneko-m .top kuroneko-n .top kuroneko-o .top kuroneko-r .top kuroneko-u .top kuroneko-x .top laposet .top poste-m .com postnl .top royal-mail .top www.postnl .top post-y .top fr-a .top post-ap .top jppost-tu .top jppost-ha .top jppost-hi .top jppost-ru .top jppost-yu .top jppost-ka .co jppost-ama .com jppost-so .co jppost-ke .co jppost-si .co jppost-ki .co jppost-ko .co jppost-so .top jppost-sso .top

主机/C2 IP: 103.126.100 .18 103.145.106 .13 145.137.183 .33

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次