总部位于美国加州旧金山的网络安全公司Lookout于近日发文称,该公司旗下安全研究人员发现了一场与叙利亚黑客组织“叙利亚电子军(Syrian Electronic Army)”存在关联的网络监视活动。
文章指出,这场监视活动可能开始于2018年1月,针对的是讲阿拉伯语的移动设备用户,涵盖叙利亚本国以及周边地区。在近期的行动中,该组织开始以“新型冠状病毒”作为诱饵,旨在诱使受害者下载恶意APP。
最新恶意APP样本
最新恶意APP伪装成是一个数字温度计,只需将手指按在屏幕上显示的指纹上方,就能测出实时体温。
图1.最新恶意APP样本截图
事实上,APP包含一种名为“AndoServer”的恶意软件,通过从C2服务器接收的命令,它能够执行以下行为:
- 截屏
- 获取电池电量信息以及检测USB是否已插入
- 报告位置(纬度和经度)
- 获取已安装的APP列表
- 启动攻击者指定的APP
- 检查设备上的摄像头数量
- 选择要访问的特定摄像头
- 创建特定的弹出消息(toast)
- 录音
- 在外部存储上创建文件
- 提取通话记录
- 列出指定目录中包含的文件
- 拨打电话
- 提取短信
- 发送短信到指定电话号码
- 提取联系人列表
同一C2服务器连接到71个恶意APP
进一步调查发现,同一C2服务器连接到71个恶意APP,其中有64个包含商业化的间谍软件SpyNote,其他还有SandroRat、AndoServer和SLRat。
图2.恶意APP示例
研究人员表示,所有这些APP均未出现在类似Google Play这样的官方应用商店中,这表明它们可能是通过被黑的网站或第三方应用商店分发的。
为什么说这些APP出自叙利亚电子军之手?
研究人员解释说,并非所有在这场监控活动中使用的恶意APP都被清除了敏感信息。例如,有很大一部分SpyNote样本都将C2信息、版本号以及其他信息存储在了“res/values/strings.xml中”。
在这些APP的strings.xml文件中,有22个都引用了“Allosh”,而这个名称此前就曾被叙利亚电子军使用过。例如,“c:\\\\users\\allosh hacker\\documents\\visual studio 2012\\Projects\\allosh\\allosh\\obj\\Debug\\Windows.pdb”和“c:\\Users\\Allosh Hacker\\Desktop\\Application\\obj\\Debug\\Clean Application.pdb”
图3.strings.xml文件截图
叙利亚电子军是何来历?
据称,叙利亚电子军成立于2011年5月,主要任务就是攻击叙利亚政府的“敌人”。
图4.百度百科关于“叙利亚电子军”的介绍
在2013年10月,叙利亚电子军就曾声称黑掉了前任美国总统奥巴马的个人网站,以及Twitter、Facebook账号和电子邮箱。
在当时,点击被黑网站会跳转到SEA的一个网站,上面写着“Hacked by SEA”。
图5.跳转页面
而点击Twitter和Facebook上面发布的几条链接,全都会被重定向到一个显示叙利亚真实现状的视频。
图6.重定向链接
从当时该组织分享的截图来看,他们还登陆了奥巴马的Gmail:
图7.Gmail截图
在2014年3月,叙利亚电子军还声称入侵了美军中央指挥部,并公布了包含2万多文件的军方在线知识库(Army Knowledge Online,AKO)服务器的文件目录。
图8.文件目录
在同年的感恩节当天,叙利亚电子军更是入侵了美国各大热门媒体网站,并在网站的页面上挂出一个窗口,上面写着“你已经被SEA黑了”。
图9.感恩节“特制”窗口
叙利亚电子军最近也一直非常活跃,他们的一个Twitter帐户分别于本月2日和7日声称对比利时媒体DDoS攻击事件以及PayPal和eBay网站入侵事件负责。
图10.@Official_SEA7最近发布的两项声明
閱讀更多 黑客視界 的文章
