ما اللوتس البحر ذلك؟

 "بحر لوتس" (المعروف أيضا باسم APT-جان الخيارات التقنية، APT32، OceanLotus)، يعتبر الهجوم تنظيم الرابطة من بلد في الهند الصينية، ونشط منذ عام 2012، نفذت هجمات ضد أهداف حساسة في الصين، في السنوات الأخيرة ضد الصين واحدة من أكثر المنظمات العاملة في الأنشطة هجوم هجوم البر الرئيسى APT.

في اليوم السابق، وغيرها من البائعين الأمنية قد صدر تقارير تحليلية جدا على لوتس البحر، ركزت محتويات التقرير على الجانب PC، تميل الهجمات الرمح التصيد الهجمات والهجمات الرئيسية نهاية النقالة نادرة.

ومع ذلك، مع تطور الإنترنت عبر الهاتف النقال، والناس من جهة الظهور التدريجي ذات الاستخدام المزدوج طبيعة الهواتف المحمولة، بالإضافة إلى تحتوي على الخصوصية الشخصية للمستخدم، ولكن أيضا في كثير من الأحيان مع الملكية مجتمعهم، من ناحية أخرى، يمكن الاتصال اللاسلكي الهواتف الذكية الالتفافية أصبح الداخلية معدات السلامة والإشراف، وبالتالي للجوال هجوم هجوم نهاية سلسلة كاملة جزءا هاما. هنا، آن يوما تتحرك الأمن الذي سيعقد في محطة متنقلة للصين مع تحليل مفصل للهجمات وصفها بأنها مخطط.

تحليل محدد

الجدول 1. معلومات أساسية عينة تمثيلية

التطبيق العادي تطبيق التمويه، بعد تشغيل لإخفاء رمز، وفي خلفية إطلاق سراح الخبيثة حزمة الفرعية وتلقي الأوامر للتحكم عن بعد، وسرقة الرسائل النصية، والاتصالات، وتاريخ الدعوة، والموقع الجغرافي، والتاريخ المتصفح وغيرها من المعلومات الخاصة، سرا تحميل APK، صور ، مرفوع خصوصية التسجيل، والمستخدم إلى الخادم، مما تسبب في تسرب خصوصية المستخدم.

تحليل عينة

ستفتح خدمة LicenseService بعد بدء تشغيل التطبيق:

وستكون الخدمة مفتوحة للتسجيل وإطلاق سراح الجاسوس و المواضيع حزم فرعية هي:

رابط التسجيل: HTTP: //ckoen.dmkatti.com

دينامية التجسس تحميل دون الحزمة:

تحليل حزمة الفرعية

تنفيذ استدعاءات الأسلوب حزمة رئيسية تعكس الطبقة com.android.preferences.AndroidR:

أولا، تأسيس اتصال مأخذ:

عنوان مأخذ: mtk.baimind.com

عن طريق إنشاء اتصال مع الهاتف، وإرسال أوامر التحكم والرسائل تحميل النص، والاتصالات، وتاريخ الدعوة، والموقع الجغرافي، والتاريخ المتصفح وبعض المعلومات الخاصة الأخرى.

وبالإضافة إلى ذلك، أنشأ حزمة أيضا التجسس الفرعية الشبكي الاتصالات لتحميل الملفات الكبيرة التسجيل، لقطات، والوثائق والصور والفيديو وهلم جرا.

HTTPS عنوان: https://jang.goongnam.com/resource/request.php.

الآن إلغاء تنشيط والبحر ينتمي إلى أصول لوتس C2 للمنظمة.

الجدول 2. موقع CC ودورها

كما هو مبين أدناه:

أولا، توقيع موضوع يحتوي HackingTeam، مسيحي Pozz (التقطيع فريق في اسم أحد المسؤولين) كلمات؛ وثانيا، وظيفة تسجيل كود يمكن تحديد المبيعات الخارجية من برامج التجسس التجاري؛ وأخيرا، وفقا لعرض البيانات الراحل التقطيع فريق تسرب منظمة اللوتس البلاد البحر أيضا من بين قائمة عملائه.

تحليل واسع النطاق

ووفقا تناظر CC مسجل، نجد نموذج التالي:

الجدول 3. استردادها بواسطة عينات مثلي CC

كان لدينا تحليل عينات مختلفة، ومزيد من العينات تحسين وظيفي كبير، وزيادة وظيفة تذكر الحق في 45AE1CB1596E538220CA99B29816304F على سبيل المثال، دليل فك اسمه الأصول ملفات dataOff.db، وبعد فك التشفير مع تجاوز الصلاحيات البيانات الشخصية، على النحو التالي:

وهكذا، بعد أن قالت المنظمة الرئيس التنفيذي HackingTeam رمز تسرب "مدونة تسربت هو مجرد جزء صغير من" التصريحات هي، الأمر الذي يعكس شبكة من تجار الأسلحة القائمة على الأدلة خفضت الهجمات عتبة APT إلى حد ما من الجانب، بحيث ويبدو أن الهجمات على شبكات المزيد من عدم اليقين.

نحن أيضا علما بأن سلسلة من الشيفرات الخبيثة يتم تسليم من قبل الموقع تطبيقات الطرف الثالث في السوق المحلي وتبادل الملفات من.

جدول ارتباط التوزيع 4. عينة

ملخص

منظمة البحر لوتس هي دائما في تطور للتغيير، من خلال تحديث باستمرار أساليبهم في الهجوم وترسانة من أجل تحقيق الغرض من تجاوز دفاعات البرامج الأمنية. بالإضافة إلى ترسانة تحديثها باستمرار، والمنظمة هي أيضا مألوفة جدا مع الوضع في الصين، بما في ذلك السياسة والعادات وهلم جرا. هذه ليست سوى الخلط بين الموظفين المعنيين، وزيادة نسبة نجاح الهجوم، ولكن قد تؤدي أيضا أضرار لا تحصى لاستهداف الفئات الضعيفة.

حتى بالنسبة للفرد المعنية، لتحسين فعالية الوعي أمن الشبكات، لا ينخدع المعلومات التصيد، للمصنعين من الناحية الأمنية، حاجة إلى المزيد من مستدامة وهادفة ضدهم تعميق فهم، وتعزيز الحماية الأمنية، المستخدمين الحقيقية الجانب حراسة أمنية متنقلة.

الملحق (IOC)

5079CB166DF41233A1017D5E0150C17A F29DFFD9817F7FDA040C9608C14351D30E7C2ADDA3BC65242A365EF72B91F3A8 C630AB7B51F0C0FA38A4A0F45C793E24 CE5BAE8714DDFCA9EB3BB24EE60F042D BF1CA2DAB5DF0546AACC02ABF40C2F19 D1EB52EF6C2445C848157BEABA54044F 45AE1CB1596E538220CA99B29816304F 50BFD62721B4F3813C2D20B59642F02286c5495b048878ec903e6250600ec308780a7f9446f62dd23b87b59b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

شكر وتقدير

بمعنى شيه تشيان إلكتروني قطرة المطر الفريق الأحمر (سابقا 360 الشركة تهديدا أمنيا فريق الاستخبارات) لاسم النطاق بسبب المجرى الناجمة عن إغفال يعزى تصحيح المتحمسين.

* المؤلف: antiylab، وأعيد طبعه من FreeBuf.COM