随着现代威胁局势不断演进，威胁者也在不断发展。网络战争的障碍持续减少，之前不具备重大进攻能力的国家现在也能构建并广泛部署多平台的网络间谍活动。

移动平台的APT组织

Lookout 和 EFF 联合发布的这份报告披露了具备国家级 APT 能力的高产威胁组织“黑山猫Dark Caracal ”，它在多种平台上对全球目标发动攻击。经观测发现，该威胁组织一直在使用桌面工具集但将移动设备优先作为主要的攻击向量，是首批公开的执行全球间谍行动的移动平台的 APT 威胁组织之一。

或属于由黎巴嫩国家安全局，攻击目标遍布全球

报告认为“黑山猫Dark Caracal”由位于黎巴嫩首都贝鲁特的国家安全局管理。报告指出发现了遍布超过21个国家数千名受害者的数百G 渗透数据。被盗数据包括企业的智慧财产和个人可识别信息。报告披露了90多个和“黑山猫Dark Caracal”相关的 IOC，其中包括11个不同的安卓恶意软件IOC，26个适用于Windows、Mac 和 Linux 平台的桌面恶意软件IOC，以及60个基于域名/IP的IOC。

“黑山猫Dark Caracal”的目标包括民族国家一般会攻击的个人和实体，包括政府、军事目标、公共设施、金融机构、制造企业和国防承包商。该报告披露的数据和军事人员、企业、医疗专家、活动分子、记者、律师和教育机构存在关联的数据。数据类型包括文档、通话记录、音频记录、加密通信客户端内容、联系信息、文本信息、照片和账户数据。

和“行动手册”存在关联

Lookout 和 EFF 的联合调查是在 EFF 公布《行动手册报告 (Operation Manual Report)》后开展的。《行动手册报告》说明了针对记者、活动分子、律师以及和哈萨克斯坦总统政见不同者；报告说明了可能和某个安卓组件有关的针对台式机器的恶意软件和技术。经过调查相关的基础设施和关联后，团队认为同样的基础设施可能分享于多个威胁组织之间并且用于全新的攻击活动中。

由这个基础设施执行的看似无关的攻击活动表明，该基础设施由多个组织同时使用。行动手册很明显针对的是和哈萨克斯坦有关的人员，而“黑山猫Dark Caracal”并未体现出和这些目标或相关目标存在关联的线索。这表明“黑山猫Dark Caracal”要么使用要么管理着这个托管大量传播广泛的全球网络间谍活动的基础设施。

自2007年开始，Lookout 公司就一直在调查并追踪全球数以亿计的设备上发生的移动安全事件，“黑山猫Dark Caracal”是迄今为止该公司发现的最高产的APT 组织之一。另外，Lookout 公司认为报告发现的活动只是“黑山猫Dark Caracal”通过这个基础设施开展的少量活动。

攻击模式

黑山猫Dark Caracal的攻击模式与客户端的网络间谍的供应链类似。手机工具包括植入Lookout的安卓监控软件Pallas9和一个新的FinFisher样本。该组织的桌面工具有Bandook恶意软件和新发现的桌面监控工具CrossRAT，该工具可以感染Windows，linux和OS X操作系统。

最初的攻击

黑山猫Dark Caracal主要通过社会工程（ Facebook组公告和WhatsApp消息）来黑进目标系统、设备和账号。在顶层，攻击者设计了3种不同的钓鱼消息，目标是让受害者进入黑山猫Dark Caracal组织控制的水坑（水坑攻击）。

图 1 两种用来攻击受害者的安卓恶意软件基础设施：将用户引向水坑服务器和一个通过伪造的登录框来接收用户证书的服务器

该组织通过水坑（secureandroid[.]info）来传播Pallas安卓木马应用，这些下载包括假的消息和隐私相关的应用。

 

图2  secureandroid[.]info的应用下载页

也有黑山猫Dark Caracal组织利用物理访问来安卓恶意软件的情况。

 

图3 受害者设备中的文本消息

社会工程和鱼叉式攻击

黑山猫Dark Caracal组织使用流行的应用如WhatsApp来传播钓鱼信息，将用户导向水坑中。

黑山猫Dark Caracal组织的基础设施使用的钓鱼地址看起来很像Facebook, Twitter, Google这样的著名服务的登录网关。研究人员发现许多Facebook群组中的含有钓鱼网站的标题中都含有Nanys，这些群组见参考文献2的附录。

Google已经对这些钓鱼活动中做了索引，研究人员相信攻击者用不同的钓鱼服务器来获取登录凭证、劫持账户、推送更多的伪造消息来扩大受害者的范围。 

图4 Google索引的tweetsfb.com活动

黑山猫Dark Caracal对应的Facebook群组对应的钓鱼链接包括政治主题的新闻，链接到假版本的Gmail等主流服务，和含有木马的WhatsApp等。

图5 Facebook上的黑山猫Dark Caracal钓鱼链接

图6中的4个Facebook个人介绍有点像钓鱼组织的活动账户。黑山猫组织用假的个人简介来模拟与受害者的通信，并在将受害者诱导到“Nanys” Facebook群组或域名secureandroid[.]info前与受害者建立良好的关系（好友、互动）。

 

图6 Dark Caracal伪造的虚假 Facebook个人简介

使用多种工具和不断发展的基础设施

报告指出，“黑山猫Dark Caracal”使用移动和桌面平台上的多种工具。“黑山猫Dark Caracal”从暗网上购买或借用这些工具；Lookout 公司在2017年5月发现了“黑山猫Dark Caracal”自定义开发的移动监控软件 (Pallas)。Pallas 出现在感染木马的安卓app中。“黑山猫Dark Caracal”还使用了臭名昭著的 FinFisher 恶意软件。“黑山猫Dark Caracal”大量使用名为 Bandook RAT 的 Windows 恶意软件，另外还使用了 Lookout 和 EFF 此前并未发现的多平台工具 CrossRAT，能够针对 Windows、OSX 和 Linux 平台发动攻击。

“黑山猫Dark Caracal”使用不断发展的全球性基础设施。基础设施的运营人员并非使用传统的 LAMP 栈（搜索相关基础设施时会提供一个唯一指纹），而是选择使用 Windows 和 XAMPP 软件。Lookout 和 EFF 已发现由行动手册和“黑山猫Dark Caracal”以及其它威胁组织共同使用的基础设施。“黑山猫Dark Caracal”的幕后黑手难以确定，因为它使用了多种恶意软件类型，这个基础设施还被其它组织所使用。

IoC

钓鱼域名

Email

[email protected][.]com
[email protected][.]com
[email protected][.]com
[email protected][.]com
[email protected]
[email protected]ecureandroid[.]info

IP

111.90.141[.]70
111.90.145[.]64
111.90.141[.]38
111.90.158.121
111.90.141.169
111.90.145.64
111.90.150.221
180.235.133.57
172.111.250.156
77.78.103.41
74.208.167[.]252
111.90.140[.]11
111.90.150[.]221

参考文献

1. https://www.secrss.com/articles/409

2. https://info.lookout.com/rs/051-ESQ-475/images/Lookout_Dark-Caracal_srr_20180118_us_v.1.0.pdf