卡巴斯基:窃取中国新冠情报的越南APT组织绕过了Google Play

据卡巴斯基称,一个正在进行的,为期数年的,针对东南亚个人的网络间谍活动——PhantomLance的数百次恶意软件攻击都成功绕过了Google Play过滤器。

根据卡巴斯基的监测,PhantomLance行动至少从2015年开始活跃,幕后操纵者是越南政府支持的APT小组OceanLotus(aka APT32)。

据Fireeye 4月22日发布的报告(https://www.fireeye.com/blog/threat-research/2020/04/apt32-targeting-chinese-government-in-covid-19-related-espionage.html)显示,该APT小组最近针对武汉省政府和中国应急管理部展开持续入侵活动(钓鱼电子邮件,上图),以窃取与COVID-19的起源有关的更多信息。

而卡巴斯基的报告尤其值得有关网络安全部门人员高度重视:钓鱼邮件也许只是APT32攻击矢量的冰山一角,APT32的间谍软件已经成功突破了包括Google Play在内的多个平台的安全审核机制。

卡巴斯基指出,PhantomLance具有多种间谍软件版本,其复杂程度各不相同,旨在窃取地理位置,呼叫日志,联系人访问,应用程序列表和SMS访问等信息,以及下载其他恶意负载。

它们被分发到包括Google Play和APKpure在内的多个平台上,小组成员竭尽全力掩盖踪迹,包括在GitHub上创建虚假的开发者资料以及其他策略。

在Google Play上架的,伪装成浏览器清理工具的间谍软件

卡巴斯基解释说:

上载到应用程序市场的应用程序的初始版本不包含任何恶意有效负载或用于删除有效负载的代码。这些版本被接受是因为它们不包含任何可疑内容,但是后续版本都更新了恶意有效负载以及删除和执行这些有效负载的代码。我们能够在所有示例中确认这种行为,并且能够找到带有和不带有有效载荷的应用程序的两个版本。

卡巴斯基已经在印度,越南,孟加拉国和印度尼西亚发现了大约300次Android设备感染尝试,越南是最受攻击的国家之一,同时也是恶意应用开发的地点。

根据卡巴斯基的说法,PhantomLance的有效负载至少与Android Ocean的OceanLotus活动中的有效负载相似,并且与APT小组的Windows和MacOS恶意软件重叠。

这个攻击活动是一个特别典型的例子,说明了高级威胁参与者如何进一步进入更深的海域并且越来越难被发现。卡巴斯基安全研究员Alexey Firsh指出,PhantomLance活动已经开展了五年多了,威胁参与者使用先进的技术成功地多次绕过了应用商店的过滤器。

我们还可以看到,使用移动平台作为主要感染点正变得越来越流行,这一领域越来越多的参与者在竞速发展,事态发展凸显了持续改进威胁情报和支持服务的重要性,这可以帮助跟踪威胁参与者并发现各种攻击活动的关联。

参考资料:

卡巴斯基phantomlanceAPT活动分析报告:https://securelist.com/apt-phantomlance/96772/Fireeye4月22日发布的报告:

https://www.fireeye.com/blog/threat-research/2020/04/apt32-targeting-chinese-government-in-covid-19-related-espionage.html

上一篇:2020年“429首都网络安全日”征文活动 题目汇编

下一篇:拜访35年前的威胁猎人