利亚反对派遭受黑客APT攻击,被窃取近8G军事机密 - APT防御产品

利亚反对派遭受黑客APT攻击,被窃取近8G军事机密

2013年6月份,10个反叙利亚政府的武装组织正在计划着一次反政府武装运动。他们精心部署军事计划,其作战指挥图片全部以电子图片的形式存储。


欺骗的艺术:假扮美女网聊

攻击者事先瞄准了几个位于叙利亚的反政府组织,包括武装反动人员、人道主义救援人员、媒体等,然后将Skype(一款流行网络电话软件)设置为一位美女头像,与目标人员进行聊天。

“她”通常会问受害者使用的是否是安卓版(或者PC)的Skype,然后再发送精心设计的恶意程序。受荷尔蒙影响,受害者大多会向攻击者索要真实的照片——于是攻击者会发送给受害者.pif后缀的自解压文件。

当受害者打开图片时,不仅会显示一张女性的照片,还会在后台自动的安装恶意后门程序DarkComet RAT。当下的DarkComet RAT提升了隐藏技术,以躲避安全软件的追踪。

除此之外,攻击者还创建了钓鱼网站和Facebook页面,伪装成反政府武装人员,这些网站和页面上都包含有恶意链接。

什么是DarkComet RAT?

DarkComet RAT是国外的一款远程控制软件,它完全免费,功能包含键盘记录、视频监控、系统控制等等,之前在国内应该不少安全爱好者在使用了,本次DarkComet RAT发布了最终版本(5.3.1),并且修复了一系列BUG,以及新增了一些功能。5.3.1版本相对比较稳定。


以下为5.3.1的更新内容:

New action added in FTP Client, you can copy to clipboard the link of a file (useful for file downloader (URL))
A very huge bug was fixed for stub startup, now it works fine
A bug fix when using user list thumbnails
[FIX ] HTTP Flood more efficient
[FIX ] In settings the last theme is correctly set in the combobox
[FIX ] Auto SIN Refresh ratio successfully saved in config.ini
[GUI ] Client Settings GUI changed, it is now more user friendly and fit with the rest of DarkComet RAT Design
[GUI ] EULA At startup is more beautiful
[GUI ] No IP Gui revised
[GUI ] User group Gui revised
[FUNC] Search for update added in settings
[GUI ] Keylogger GUI revised
[FIX ] Now desktop correctly save snapshots (if option enabled)
[DEL ] Delete in full editor (read only, archived, tempory) attributes to avoid some stub problems if used
[FIX ] Users list flags support now Serbia Country (Republic of Serbia)
[FIX ] VIP Lounge price and URL fixed
[FUNC] HOT, Now you can chose wich functions you need in the control center, and not be bloated with functions you might never used. (In settings window)
[FIX ] FTP Upload Keylogger Logs bug fixed
[FUNC] FTP Wallet added in settings, it allow you to setup and test your FTP accounts for compatible DarkComet RAT FTP Functions
[FUNC] FTP Wallet is now linked to the Edit Server keylogger FTP Managment
[FUNC] Now you can upload files from file manager to one of your FTP account (compatible with the FTP wallet)
[FUNC] Embedded FTP Client added to DarkComet, multithread using Pure API, very fast and reliable and of course user friendly.
[FIX ] Bug fixed when module startup enable, no more tons of process on reboot etc.. support Drag n Drop
[FUNC] Drag And Drop added in File Manager to upload files frop explorer directly to remote computer
[FUNC] New downloader method implemented using Pure low level API’s instead of the shit URLDownloadUrlToFile bloated of crap
[FUNC] File Downloader manager from control center been improved and bug fixed, now file are correctly downloaded, also you can chose a PATH from combobox shortcut
[FUNC] Mass downloader from user list been improved and multithreaded, also download bug is now fixed
[FUNC] Same as for mass downloader, update from URL bug fixed and improved


攻击分析

攻击者使用的是多个恶意程序的组合,具有一些比较常见的恶意代码,如之前FireEye披露的DarkComet RAT(键盘记录器和信息搜集工具)。通过一系列策略,攻击者成功窃取了反对派的数百份文档、近31107个Skype通话记录(一些攻击政府军队的计划讨论)、12356个联系人资料、240381条短信。

内容涵盖:

军事信息
政治信息
人道主义活动和资金
难民个人信息
媒体和通讯

在已经发现的文件中,包含了带注释的卫星图片,Skype聊天记录,武器登记记录和反对派成员的个人信息。

攻击者选择攻击受害者的安卓设备是一个很明智的选择。智能手机是当下最通用的社交工具,攻破手机即可获得大量的数据(包括短信、通话记录、联系人、邮件等)。

虽然感染的设备量有限,但是受感染的人却大多是武装组织里的组织者或军事专家,所以可想而知从他们身上搜集的资料价值肯定很大,这些情报在战争中的重要性不言而喻。

谁是真凶?

研究人员目前无法证实这一切的幕后操纵者是谁。但是,从聊天的内容来看,研究人员猜测应该与黎巴嫩有关,因为攻击者在聊天时一直在说自己在黎巴嫩。


转载请注明出处 APT防御产品 » 利亚反对派遭受黑客APT攻击,被窃取近8G军事机密

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址