雙尾蠍（APT-C-23）：伸向巴以兩國的毒針

新聞 03-15

摘要

2016 年 5 月起至今，雙尾蠍組織（APT-C-23）對巴勒斯坦教育機構、軍事機構等重要領域展開了有組織、有計劃、有針對性的長時間不間斷攻擊。

攻擊平台主要包括 Windows 與 Android，攻擊範圍主要為中東地區，截至目前我們一共捕獲了 Android 樣本 24 個，Windows 樣本 19 個，涉及的 C&C 域名 29 個。

後門程序主要偽裝成文檔、播放器、聊天軟體以及一些特定領域常用軟體，通過魚叉或水坑等攻擊方式配合社會工程學手段進行滲透，向特定目標人群進行攻擊。

相關惡意可執行程序多為「.exe」和「.scr」擴展名，但是這些程序都偽裝成 doc、xls 文檔圖標，並且文件中還包含一些用以迷惑用戶的文檔。

攻擊者在誘餌文檔命名時也頗為講究，如「??????? ?? ? ????」（安全服務）、「Egyptian Belly Dancer Dina Scandal, Free Porn」（肚皮舞者 Dina 醜聞，色情），此類文件名容易誘惑用戶點擊。

Android 端後門程序功能主要包括定位、簡訊攔截、電話錄音等，並且還會收集文檔、圖片、聯繫人、簡訊等情報信息；PC 端後門程序功能包括收集用戶信息上傳到指定伺服器、遠程下載文件以及遠控。

通過相關信息的分析，發現該組織極有可能來自中東。

關鍵詞：

雙尾蠍、APT23、巴勒斯坦、教育、軍事、魚叉、水坑、偽裝

第一章概述

第二章受影響情況

一、地域分布

二、領域分布

第三章載荷投遞

一、攻擊方式

二、誘餌文件

第四章後門分析

一、 ANDROID

二、 WINDOWS

第五章 C&C 分析

一、 WHOIS 隱私保護

二、 C&C 伺服器地域分布

三、 C&C、IP 及部分樣本對應關係

第六章關聯分析

總結

附錄 A：樣本 MD5

附錄 B：C&C 列表

第一章概述

2016 年 5 月起至今，雙尾蠍組織（APT-C-23）對巴勒斯坦教育機構、軍事機構等重要領域展開了有組織、有計劃、有針對性的長時間不間斷攻擊。

攻擊平台包括 Windows 與 Android，攻擊範圍主要為中東地區，截至目前我們一共捕獲了 Android 樣本 24 個，Windows 樣本 19 個，涉及的 C&C 域名29 個。

2016 年 5 月，我們捕獲了第一個 Android 平台下的相關特種木馬，在此後的半年中，我們又先後捕獲了與該組織相關的不同形態的特種木馬程序樣本數十個。並且在 2016 年 7 月開始捕獲到 Windows 系統的相關木馬程序。

該木馬主要偽裝成文檔、播放器、聊天軟體以及一些特定領域常用軟體，通過魚叉或水坑等攻擊方式配合社會工程學手段進行滲透，向特定目標人群進行攻擊。入侵成功後攻擊者開始竊取目標系統中的各類文檔資料並且進行實時監控。

360 威脅情報中心將 APT-C-23 組織命名為雙尾蠍，主要是考慮了以下幾方面的因素：一是該組織同時攻擊了巴勒斯坦和以色列這兩個存在一定敵對關係的國家，這種情況在以往並不多見；二是該組織同時在 Windows 和Android 兩種平台上發動攻擊。

雖然以往我們截獲的 APT 組織中也有一些進行多平台攻擊的例子，如海蓮花，但絕大多數 APT 組織攻擊的重心仍然是 Windows 平台。

而同時注重兩種平台，並且在 Android 平台上攻擊如此活躍的 APT 組織，在以往並不多見。

第三個原因就是蠍子在巴以地區是一種比較有代表性的動物。

綜上，根據 360 威脅情報中心對 APT 組織的命名規則（參見《2016 年中國高級持續性威脅研究報告》），我們命名 APT-C-23 組織為「雙尾蠍」。

第二章受影響情況

本章主要對相關攻擊行動所針對目標涉及的地域和行業進行相關統計分析，時間範圍選擇 2016 年 5 月 1 日到至今。

一、地域分布

雙尾蠍行動主要針對目標為巴勒斯坦，佔比高達 84.8%，其次是以色列，占 8.1%，分布如圖 1 所示。

圖 1 受影響地域分布

二、領域分布

從行業分布上看，教育機構是雙尾蠍行動重點針對目標，其次是軍事機構，具體分布如圖 2 所示。

圖 2 受影響行業分布

第三章載荷投遞

一、攻擊方式

1）水坑攻擊

Android 端間諜軟體主要偽裝成 Facebook 升級模塊、聊天軟體以及Tawjihi 2016（Tawjihi 是約旦和巴勒斯坦的一種類似於高考的考試），通過掛載在具有迷惑性的下載網址上引誘目標下載安裝。

攻擊者註冊了一系列類似於gooogel.org 、 acount-manager.info 、apppure.info 這種具有迷惑性的網址，並且上面都掛著許多正常樣本用於干擾、迷惑，從而導致用戶中招。

表 1 是某惡意程序具體下載鏈接和鏈接對應的RAR 文件 MD5。

表1 惡意程序下載鏈接和鏈接對應的RAR文件MD5

zip 壓縮包中 exe 文件使用.scr 後綴，該格式為 exe 的衍生類型，並且通過修改 exe 圖標為文檔來誘導用戶點擊。進一步分析，還發現了部分惡意程序下載鏈接。

http://acount-manager.info/F5YVWRDBbnsghWe6lN4DSRedB2FsVU1Q/download__________.zip

http://drive.acount-manager.net/F5YVWRDBbnsghWe6lN4DSRedB2FsVUQ/downloadfile____________.zip

2）疑似魚叉郵件

相關惡意可執行程序多為「.exe」和「.scr」擴展名，但是這些文件都偽裝成 doc、xls 文檔圖標，並且文件中還包含一些用以迷惑用戶的文檔，從以往此類事件的分析經驗來看，一般這類可執行程序均進行壓縮，以壓縮包形態發送。

壓縮包和包內惡意代碼文件名一般是針對目標進行精心構造的文件名，相關文件名一般與郵件主題、正文內容和惡意代碼釋放出的誘餌文檔內容相符，因此這次攻擊行動極有可能會以魚叉郵件的方式進行投遞。

二、誘餌文件

雙尾蠍行動中主要使用兩種文件形式。

一種是通過 winrar 的自解壓功能將相關樣本文件和誘餌文件打包為exe 文件，運行該 exe 文件，會釋放出惡意樣本並打開誘餌文件進行偽裝。

其中 exe 母體文件主要通過圖標進行偽裝，涉及的圖標包括安裝補丁、視頻、文檔等，並且文件名一般是針對目標進行精心構造的文件名，與釋放出的誘餌文檔內容相符，通過樣本屬性中的注釋，可以看到內嵌 SFX script commands。

另一種是使用 scr 後綴名的文件，該文件格式是 Windows 系統中屏幕保護程序，為 exe 的衍生類型，通過在資源段存放誘餌文檔，運行該類型的惡意文件後，會首先打開誘餌文件進行偽裝。

1) 文檔類

據網上公開消息得知，巴勒斯坦高考是 6 月份開始，持續 20 天，而這一時期我們捕獲的樣本中就有偽裝成「Tawjihi 2016」（高考 2016）的 Android 應用程序，同時期從 Windows 平台捕獲的樣本使用的誘餌文檔是巴勒斯坦2015 年高考成績，如圖 3 所示。

圖 3 誘餌文檔

從攻擊時間和偽裝內容的選取上，可以看出攻擊者目標很明確具有很強的針對性。

教育一直是各個國家非常重視的領域，特別是巴勒斯坦從 2007年內部分裂以後，直到 2014 年才進行了 7 年來第一次全國統一高考。

對於巴勒斯坦人來說，高考更顯得重要，攻擊者選取這個領域也是別有用心。

除此之外還有包含軍事類新聞信息的偽裝文檔，例如，圖 4 內容是加沙地區某軍事事件的採訪新聞，圖 5 是關於加沙地區軍事領導人的任命消息：

圖 4 誘餌文檔

圖 5 誘餌文檔

2) 軟體類

用於攻擊的後門程序都是經過偽裝的，Android 端主要是偽裝成 Facebook 升級程序和其他一些常用軟體，Windows 端主要偽裝成播放器、文檔等常用圖標。

圖 6 欺騙性軟體圖標

圖 7 欺騙性軟體圖標

3) 視頻類

部分後門程序通過將樣本文件和播放器文件（.mp4）打包為 exe 文件來

進行傳播。誘餌視頻文件如圖 8 所示。

圖 8 誘餌視頻

4) 圖片類

圖 9 誘餌圖片

5) 文件名偽裝

圖 10 部分文件名

從上圖文件名可以看出，攻擊者在誘餌文檔命名時也頗為講究，如「

??????? ?? ? ????

」（安全服務）、「Egyptian Belly Dancer Dina Scandal, Free Porn」（肚皮舞者Dina醜聞，色情），此類文件名容易誘惑用戶點擊。

第四章後門分析

一、 Android

Android 平台相關後門程序可以在撥打電話或是收到來電時，開啟錄音功能：

圖 11 監聽電話

並且通過攔截簡訊，可以根據簡訊內容開啟錄音或是上傳錄音文件功能：

圖 12 根據簡訊內容開啟錄音功能

除了定位、簡訊攔截、電話錄音等監控功能，後門程序還要負責收集文

檔、竊取聯繫人、上傳簡訊內容等情報信息收集，相關類名和功能如下表：

表 2 類名和功能對應關係

圖 13 竊取文檔文件

圖 14 截獲的上傳圖片文件數據包

移動端後門早期版本使用C&C域名比較單一（upload202.com），從 2016年7月份開始捕獲的後門程序中開始出現新的C&C地址（mediauploader.info），但是代碼和功能上與早期版本基本相似。

大約從9月份開始，雖然代碼未混淆部分命名規則沒變，但是程序下載地址和上傳伺服器地址發生了改變，代碼也做了一些改進。

從2017年1月份開始，捕獲的樣本未混淆部分類名採用之前類名的縮寫，並且使用全新的 C&C 地址，簡訊指令增加到 8 個。

圖 15 Android 樣本版本演進圖

Android 端後門程序從早期版本中就有攔截簡訊獲取指令的功能，隨著版本的更新，指令個數也越來越多。

表3 簡訊命令與對應功能

早期版本樣本大都偽裝成聊天軟體和高考軟體，而且奇怪的是，許多樣本出現在6月份，但是其釋放的後門程序早在 5 月初就已經出現。

在前面「誘餌文檔」一節中我們已經分析這批樣本極有可能是針對教育行業，雖然攻擊時間是在正值巴勒斯坦高考的 6 月份，但是樣本卻在 5 月份甚至可能更早就已經完成編寫，這也說明這次攻擊早有預謀。

二、 Windows

PC 端後門大致可以分為兩個版本，早期版本採用 Delphi 編寫，使用C&C域名主要為（upload101.net 、upload999.net），從 2016 年 10 月份開始捕獲到新的後門程序。

此類程序採用 MFC 編寫，並使用了新的 C&C 地址（www.mailsinfo.net），但是代碼和功能上與早期版本基本相似，都是上傳計算機信息到伺服器，並遠程下載文件執行。

圖 16 PC 樣本版本演進圖

（一） Delphi 版本

主要功能：一是收集用戶信息（如電腦名、用戶名等），上傳到指定伺服器，進一步還會從伺服器上下載文件（下載的文件暫時還未找到）並運行；二是遠控功能（如截屏、結束進程），其隱藏界面如下：

圖 17 被隱藏的界面

1）判斷系統版本在對應的%appdata%目錄下創建 WindowsShell 子目錄，將自身複製到該目錄下，並在註冊表（HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun）中添加自啟動。

圖 18 註冊開機啟動項

2）從自身資源釋放 ssleay32.dll、libeay32.dll，以便使用 OpenSSL 加密數據連接。

圖 19 釋放資源文件

3）連接 http://upload101.net/pc/domains（已失效）被用於獲取新鏈接。

圖 20 獲取新的下載鏈接

4）上傳信息

表 4 上傳信息

5）遠程控制

遠控服務端為 https://upload999.net/win_downloader/windows/<計算機名>_<用戶名>/ + 命令，通過伺服器返回值來判斷是否操作。

表 5 遠控命令

6）設置定時器進行不同的功能

表 6 定時器功能

後期捕獲到的 Delphi 樣本在功能上主要是多了一個定時器，也是用於下載文件並執行。

（二） VC 版本

主要功能: 收集用戶信息（如硬碟類型、序列號等），上傳到指定伺服器，並從伺服器上下載文件運行。

1）獲取硬碟類型、序列號等信息

圖 21 獲取硬碟信息

2）將獲取的硬碟類型、序列號信息存在自啟動目錄（HKCU\Software\Microsoft\Windows\CurrentVersion\Run）下的子鍵 hdflag 中，並且該信息會被發送至服務端，若發送成功，則在自啟動目錄下新建 senid 項，並設置為 true，表明已發送硬碟信息。

圖 22 註冊表操作

3）將獲取的硬碟信息提交至 www.mailsinfo.net/info/insert.php。

圖23 網路操作

4）訪問 www.mailsinfo.net/info/checkmails.php，獲取新的 URL，另外通過訪問 www.mailsinfo.net/info/checkmailp.php 獲取新 URL 參數，最後訪問組合的地址下載文件（已失效）。

圖24 獲取 info/checkmails.php 字元串

5）下載的文件根據系統版本存放不同的目錄，如 xp 系統，存放在C:Documents and SettingsAll UsersFavoritesVLC 目錄下，並設置自啟動，最後通過 ShellExecuteW 將其運行。

圖25 執行下載文件

通過分析捕捉的 PC 端樣本，猜測這類樣本主要用於前期偵查信息所用，主要模塊應來自雲控下載。

第五章 C&C 分析

一、 Whois 隱私保護

whois 隱私保護是指域名註冊服務商為域名註冊者提供的一種服務，即域名 whois 信息會隱藏域名註冊者的真實信息，如電子郵件地址、電話號碼等，一般這種服務為收費有償服務。

在 APT 攻擊中，相關組織非常喜歡採用 whois 隱私保護這種方式來隱藏自己的真實身份，安全研究機構或人員很難找到相關線索信息進行關聯回溯。

下圖為該組織行動中 C&C 域名的保護情況。從圖 26 中可以看到該組織使用的 C&C 大部分都有 whois 保護，佔據了 60.7%，也說明了該組織對自己的真實身份有較強的保護意識。

圖 26 C&C 域名保護情況

二、 C&C 伺服器地域分布

圖 27 C&C 伺服器地域分布

從圖 27 可以看出該組織攻擊行動中所使用的 IP 地理位置主要集中在美國和立陶宛，這兩個地域佔比超過了85% 。

需要注意的是C&C（www.mailsinfo.net）地理位置為巴勒斯坦地區，通過 Whois 查詢該C&C為公司註冊，其註冊人為 Nepras company，與以前樣本出現的C&C存在不

同，這裡猜測該域名當時被攻擊者劫持。

三、 C&C、IP 及部分樣本對應關係

圖28 C&C、 IP 及部分樣本對應關係

通過圖 28 中的 C&C、IP 及部分樣本對應關係，很明確說明了 PC 端樣本（ 5bbb5604bc0f656545dfcbb09820d61a ）與Android平台樣本（acc903afe22dcf0eb5f046dcd8db41c1）樣本存在強關聯，這些樣本使用的域名都是 upload101.net。

另外，通過對上圖中出現的域名（upload202.com、mediauploader.info、upload101.net、upload999.com、upload999.net、upload999.info、upload999.org、akashipro.com、acount-manager.info、acount-manager.net、mary-crawley.com、cecilia-gilbert.com）進行 WHOIS 信息分析，發現相關域名持有者郵箱都是adam.swift.2016@gmail.com，這也明確說明了是同一組織進行的攻擊。

第六章關聯分析

本章主要就雙尾蠍攻擊行動中使用的惡意代碼、C&C 伺服器等層面進行關聯分析。

1）攻擊行動中 PC 與 Android 平台，共用 C&C

表7 PC 樣本基本信息

圖29 樣本代碼截圖（C&C 地址）

表 8 Android 樣本基本信息

圖 30 Android 樣本代碼截圖（C&C地址）

從 PC、Android 樣本中使用的 C&C，以及都是採用 http://upload101.net/ 平台 /domains 的形式，可以看出該組織為同一伙人。

2）攻擊行動中 PC 與 Android 平台，都使用了「Tawjihi」字元串

表 9 樣本中涉及的字元串

從上表可以看出該組織攻擊意圖一致，都含有對教育部門的攻擊。

3） PDB 路徑有一定地域特徵

表10 PC 樣本

上表是 PC 平台中 PE 文件的 PDB 路徑，這個路徑就是惡意代碼作者本機的文件路徑，從相關用戶名「USA」、「Yousef」來看，這些用戶名更多出現在阿拉伯中東地區。

總結

通過對雙尾蠍相關 TTPs（Tools、Techniques、Procedures）的研究分析，以及結合以往跟進或披露的 APT 組織或攻擊行動，總結出以下幾點：

1）移動端 APT 事件逐漸增多

以往披露的 APT 事件主要是針對 Windows 系統進行攻擊，現今由於Android 系統、APP 的普及與發展，帶動了 Android 手機等智能終端用戶量的持續攀升，從而導致黑客組織的攻擊目標也逐漸轉向移動端。

我們在捕獲樣本時率先捕獲到 Android 樣本，並且 Android 樣本後期更新速率很快，從而也變向說明該組織主要是基於 Android 系統進行攻擊。

因此，針對移動端的 APT 攻擊不容忽略。

2）攻擊技術由淺入深。

技術分析顯示，該組織初期使用的特種木馬技術並不複雜，但後期版本中，此類木馬開始採用文件偽裝、字元串加密、並使用雲控技術來逃避殺軟的查殺。

綜合來看，該組織的攻擊周期較長攻擊目標之明確、社工手段之精準，並且攻擊過程中使用了大量資源，都表明這不是一個人或一般組織能承受的攻擊成本。

因此雙尾蠍行動背後組織應該不是普通的民間黑客組織，很有可能是具有高度組織化的、專業化的黑客組織。

3）攻擊組織極可能來自中東。

前面分析知道 PDB 路徑有「USA」、「Yousef」等字元串，Android 後門程序證書為「Jamal Hassan」、「Yousef Aburabee」等字元串。並且 C&C 的註冊人郵箱為 adam.swift.2016@gmail.com，這些名字（「USA」、「Yousef」、「adam」）常常出現在阿拉伯地區。

C&C 註冊人公開信息顯示來自於加沙，另外，惡意代碼時間戳大部分為北京時間下午到凌晨 2 點，對應至中東地區時間也大致在工作時間內。

因此，雙尾蠍攻擊行動極可能來自中東。

附錄 A：樣本 MD5