沙猁猫组织—针对库尔德斯坦民主党（KDP）活动人士的攻击

沙猁猫组织—针对库尔德斯坦民主党（KDP）活动人士的攻击 2023年10月08日 摘 要  近日，奇安信病毒响应中心移动安全团队监测到两个伪装成库尔德斯坦民主党（KDP）相关网站移动端应用的样本。  受害者会被窃取走手机上的个人通讯录、短信和其他社交软件资料等敏感信息。  我们将该APT新组织命名为“沙猁猫”（Caracal Kitten），该组织是奇安信独立发现并全球率先披露的第16个APT组织，编号为APT-Q-58。  MOrder RAT默认向数据库指令表中插入“MCNT”和“MSMS”指令，用于窃取受害者通讯录和短信。  远控服务器使用FileZillaServer配置了FTP服务器转载，转移窃取到的受害者资料。 关键词： 库尔德斯坦民主党（KDP）、MOrder RAT、Ahmyth RAT、沙猁猫 2 目 录 第一章 概述 .....................................................................................................................................1 第二章 武器分析 ............................................................................................................................2 一、 MORDER RAT .......................................................................................................................... 2 二、 AHMYTH RAT ................................................................................................................................ 5 第三章 攻击时间线 ........................................................................................................................8 第四章 受害者分析 ........................................................................................................................9 一、 受害者数据库数据 ................................................................................................................. 9 二、 受害者通讯录 ......................................................................................................................... 9 第五章 组织归因 ......................................................................................................................... 11 一、 时区设置 ............................................................................................................................... 11 二、 指令下发服务器追踪 ........................................................................................................... 11 三、 开发者指纹 ........................................................................................................................... 12 四、 情报关联 ............................................................................................................................... 13 第六章 IOCS ................................................................................................................................. 15 1 第一章 概述 近日，奇安信病毒响应中心移动安全团队监测到两个伪装成库尔德斯坦民主党（KDP）相关网站移动端应用的样本。经过分析和挖掘，发现其为攻击库尔德斯坦民主党（KDP）活动人士的恶意软件，该恶意软件会窃取受害者的通讯录、短信和其他社交软件资料等敏感信息。综合获取的情报，我们认为其攻击者较高概率为来自中东某政权背景的组织。该组织虽然与此前公开的Domestic Kitten、Ferocious Kitten和Rampant Kitten等组织有类似的攻击目标，但目前并未发现相关IOC资源和证据表明其归属于某一历史组织，且该组织具有更加明确的攻击目标，更清晰的攻击时间节点。我们根据该组织的攻击特点和组织特征，将其命名为“沙猁猫”，英文名“Caracal Kitten”，奇安信内部APT组织编号为APT-Q-58。沙猁猫是奇安信独立发现并全球率先披露的第16个APT组织。 公开情报显示，库尔德人是主要生活于西亚库尔德斯坦地区的游牧民族，总人口3000万，主要分布在土耳其、叙利亚、伊拉克、伊朗四国境内，在中东是人口仅次于阿拉伯、土耳其和波斯的第四大民族。库尔德斯坦民主党（KDP）是库尔德人的一个民族政党，长期以来，与所属地区的政府和团体具有较复杂的关系。 2 第二章 武器分析 本次攻击活动中，共捕获和挖掘出该组织2款武器，其一是伪装成库尔德斯坦民主党 (KDP) 中央网站和库尔德斯坦媒体移动端应用的MOrder RAT；其二是Ahmyth RAT的客户端样本。 一、 MOrder RAT 本次捕获的样本，采用了集成软件开发平台进行开发，但是核心的远程控制代码为开发者开发，其远控命令都在功能缩写前加了“M”，客户端和服务器都将指令称为“order”，所以我们将此家族木马命名为“MOrder RAT”。 (一) 伪装情况 捕获的样本应用名称分别为“kurdistanukurd”和“KurdistanMedia”。除在应用显示图标上使用库尔德斯坦民主党 (KDP)标志外，应用内更是直接通过webview组件加载相应的官方网站链接，分别为“https://kurdistanukurd.com/”和“https://kurdistanmedia.com/”，可以正常使用，具有很强的迷惑性。相应的应用运行后伪装的交互界面如下： 3 (二) 远控功能 恶意样本启动后，进行初始化服务，C2服务器地址为“http://65.109.157.77”，初始化源码示例如下： 4 远控功能目前主要窃取受害者的通讯录、短信和其他社交软件资料等。移动端编写的指令和功能如下表： 指令 功能 MINFO 上传设备与授权信息 MCNT 上传通讯录 MSMS 上传短信 MLS 上传SD卡文件树 MSNDM 向指定电话发送短信 MMSG Toast提示信息 MDWN 上传指定文件 MBRW 开启指定界面 受害者在安装运行样本后，会自动进行注册，与此同时，根据其服务器源码显示，会默认向数据库指令表中插入“MCNT”和“MSMS”指令，用于窃取受害者通讯录和短信。注册源码如下： 其他的远控指令更像是针对特定受害者的精准定制化指令，通过另一个服务器接口动态插入到数据库指令表中，受害者及对应指令示例如下： 5 二、 Ahmyth RAT (一) Ahmyth 介绍 Ahmyth 是一个开源的Android远程控制项目，分为服务器端和客户端，该项目常被用来制作Android端的RAT样本。其包含录音录屏拍照、获取设备文件、获取定位、获取联系人短信和通话记录及发送短信等功能。服务端控制界面示例如下： 6 (二) 样本分析 在此次攻击事件中，我们发现该组织制作了相关的Ahmyth RAT样本作为其攻击武器，然而并未发现其受害者，怀疑此武器还在制作测试阶段，暂未进行载荷投递和攻击使用。 在其制作的Ahmyth RAT样本中，使用的远控服务器与上面介绍的伪装应用使用的远控服务器相同，都为“65.109.157.77”。样本源码截图如下： 7 8 第三章 攻击时间线 由于攻击者的服务器配置不当，该服务器泄露了受害者数据。通过对泄露出来的服务器上的受害者数据进行分析，我们发现该组织的攻击活动具有很明显的时间节点，大体可以分为两段。首次攻击时间为2021年7月至11月，最新一次攻击始于2023年5月延续至今。其中首次攻击时泄露的受害者部分数据如下： 9 第四章 受害者分析 此次攻击目标比较明确，诱饵是伪装成库尔德斯坦民主党（KDP）相关网站的移动样本。由于主控服务器使用FileZillaServer配置了FTP服务器转载，因此我们并未获取到大量的受害者历史资料，用于判断更多受害者具体身份。根据以下受害者资料，结合诱饵特征我们认为此次攻击活动是针对库尔德斯坦民主党（KDP）活动人士的攻击。 一、 受害者数据库数据 在其泄露的受害者用户表中，可以看到众多的库尔德语受害者名字。 二、 受害者通讯录 在受害者通讯录文件中，姓名几乎全部采用库尔德语语言，电话号码大多数为伊朗号码，还含有少量的伊拉克号码，值得说明的是库尔德斯坦民主党（KDP）相关网站上联系电话也为伊拉克号码。受害者通讯录示例如下： 10 在通讯录中，我们追踪了部分联系人身份，示例是一个与库尔德人相关的线上哀悼的社交账号帖子，其中发现了通讯录中的联系人电话，姓名也大致相符，示例如下： 11 第五章 组织归因 分析追踪中，我们发现该组织具有很强的隐匿能力和谨慎的风格。其通过其他代理服务器和移动网络远程操控主要服务器，并及时的将受害者数据进行转载和清理。 在深入的情报分析后，我们基于以下几点证据，怀疑其攻击者为具有中东某政权背景的组织，并结合该组织攻击特点和组织特征，将其命名为“沙猁猫”，沙猁猫是一种领域性非常强的猫科动物，外表和猞猁很像，善于隐藏，可以长时间不喝水而持续存活，曾在某些中东国家被驯化当做猎猫。 一、 时区设置 在对泄露的源码和受害者数据进行分析时，发现未在样本中显式使用的时间时区设置为中东某地区，相关时区设置源码截图如下： 二、 指令下发服务器追踪 在泄露的源码中，我们发现除自动插入的“MCNT”和“MSMS”指令外 ，其他指令都通过另一接口远程插入到指令表，而此接口是没有在已捕获的攻