雷鋒網(wǎng)按：本文授權(quán)轉(zhuǎn)載自奇安信威脅情報中心紅雨滴團隊。2015年4月22開始，截至2018年世界杯結(jié)束后的數(shù)月里，有一個網(wǎng)絡攻擊組織一直持續(xù)針對阿·拉伯用戶、什葉派及評論人士進行展開攻擊，不少被攻擊的社交平臺賬號變成“沉默賬號”，奇安信紅雨滴把其歸屬為一個新的組織：諾崇獅組織。至今，諾崇獅組織在其歷史攻擊活動里已使用了四種移動端的RAT，包括開源的RAT（AndroRat）和三種商業(yè)RAT（SandroRat、SpyNote及MobiHok）。

一、概述

無論物理還是網(wǎng)絡空間的對抗，中東從來都是高度活躍的區(qū)域，奇安信紅雨滴團隊也一直保持著關(guān)注?；陂L期的分析整理，本文公開一波持續(xù)幾年的定向攻擊活動及背后的團伙，值得分享到安全社區(qū)以增進我們對地緣政治背景下的網(wǎng)絡行動的理解。

自名為“Operation Restoring Hope” 的也門干預行動當天，也就是2015年4月22開始，截至2018年世界杯結(jié)束后的數(shù)月里，有一個網(wǎng)絡攻擊組織一直持續(xù)針對阿·拉伯用戶、什葉派及評論人士進行展開攻擊，在攻擊后我們發(fā)現(xiàn)不少被攻擊的社交平臺賬號變成“沉默賬號”，在目前已知的APT組織中均未發(fā)現(xiàn)和該組織有重疊，因此奇安信紅雨滴把其歸屬為一個新的組織：諾崇獅組織。

有一句話這樣形容Dota游戲里的一名角色人物—-沉默術(shù)士(諾崇)：一切魔法，遭遇了他，都將歸于寂靜。其后半句用在該攻擊組織上相當吻合，再加上該組織的震懾力和其中的配合如同獅群，故我們將其命名為諾崇獅組織。隨著該組織所屬相關(guān)領導者近期可能發(fā)生的變動，該組織有可能會再度活躍。

目前已經(jīng)關(guān)聯(lián)到的攻擊活動時間線總結(jié)如下：

圖1.1   諾崇獅組織在多個網(wǎng)站和社交平臺上發(fā)起攻擊的時間線

二、背景介紹

諾崇獅組織掌握有一個由大量機器人及雇傭而來的成百上千名年輕人組成的虛擬團隊，用于傳播虛假信息和親政府宣傳，長期以來其一直專注于監(jiān)視攻擊，使國內(nèi)外的批評者保持沉默，其能夠利用昂貴的間諜軟件瞄準生活在世界另一端的持不同政見者。

Twitter是該組織的主戰(zhàn)場，因為Twitter被當作廣受歡迎的新聞發(fā)布平臺。諾崇獅組織可能培養(yǎng)了兩名Twitter員工，嘗試訪問持不同政見者和激進分子的私人信息，包括電話號碼和IP。后Twitter在2015年11月11日，向幾十個被其中一名前Twitter員工訪問過帳戶的所有者發(fā)出了安全通知：“作為預防措施，我們提醒您，您的Twitter帳戶是一小部分帳戶之一，這些帳戶可能是由國家贊助的參與者所針對的”。在2019年9月20日，Twitter又發(fā)出了一個新披露通知，宣布永久暫停了一個名為卡塔尼(Saud al-Qahtani)的Twitter賬號。

類似的，該組織還會操縱YouTube和Facebook平臺，于此就不再展開描述。

三、載荷投遞

諾崇獅組織在攻擊活動展開期間，紅雨滴團隊捕獲到其至少投入近十名攻擊投遞者在多個網(wǎng)站和社交平臺上進行非定向的水坑傳播式釣魚攻擊及定向目標的魚叉攻擊。

（一）水坑攻擊

至今已發(fā)現(xiàn)有數(shù)名攻擊者在配合發(fā)布釣魚信息，發(fā)布地點涉及了三個網(wǎng)站與三個社交平臺(視頻平臺YouTube、聊天平臺Telegram和社交平臺Twitter)。釣魚消息使用的語言均為阿拉·伯語，僅從YouTube平臺進行評估，約有萬名用戶可能受到攻擊影響。

(1)攻擊者在Qassimy游戲網(wǎng)站進行發(fā)布虛假游戲信息，誘導用戶轉(zhuǎn)向釣魚網(wǎng)站進行惡意載荷的下載。

圖3.1    Qassimy游戲網(wǎng)站上的釣魚信息

(2)在Gem-Flash網(wǎng)站進行發(fā)布虛假游戲信息，誘導用戶進行惡意載荷的下載。攻擊者(“wafa3”)應該和Qassimy上發(fā)布的為同一個，此次釣魚信息里還帶有指向YouTube的一個引鏈。

圖3.2     Gem-Flash網(wǎng)站上的釣魚信息

(3)世界杯期間，在ADSGASTE數(shù)字門戶網(wǎng)站進行發(fā)布虛假的世界杯播放應用信息，誘導用戶轉(zhuǎn)向釣魚網(wǎng)站進行惡意載荷的下載。

圖3.3     ADSGASTE數(shù)字門戶網(wǎng)站上的釣魚信息

(4)在YouTube平臺上，目前已發(fā)現(xiàn)到有兩個釣魚攻擊者；其中名叫“Nothing”的攻擊者，發(fā)布了四次釣魚信息，按觀看數(shù)進行評估，約有萬名YouTube用戶收到釣魚信息。另外，值得注意的是該攻擊者在YouTube上發(fā)布的其中一個釣魚信息地址被上面Gem-Flash網(wǎng)站的名為“wafa3”的攻擊者使用在其釣魚信息中當做引鏈，類似的還可以經(jīng)?？吹皆摻M織下不同釣魚攻擊者之間的相互配合。

圖3.4     兩個攻擊者在YouTube平臺上發(fā)布的釣魚信息

(5)Telegram上偽裝成2018世界杯直播的群頻道。

圖3.5     Telegram上使用的偽裝世界杯直播頻道

注：此處友情提醒廣大安全友軍，載荷投遞的鏈接有防盜保護，所以流程有沒有抓取到呢？

圖3.6     Telegram上使用的偽裝世界杯直播頻道

(6)在Twitter平臺上，已發(fā)現(xiàn)到該組織的四個攻擊者發(fā)布了未定向的多條不同內(nèi)容的釣魚信息進行廣泛傳播。

圖3.7     四個攻擊者在Twitter平臺上發(fā)起的未定向釣魚攻擊片段

(7)此外還有一個釣魚網(wǎng)站，目前看其主頁面荒廢了有一陣子，故在此略過。

（二）魚叉攻擊

在Twitter社交平臺上，諾崇獅組織除了使用水坑攻擊進行廣泛傳播外，還使用了數(shù)十次的定向魚叉攻擊。我們抽看了其中一些被該組織攻擊的目標賬號，有不少賬號顯示已被凍結(jié)或者在之后的很長時間里沒有再更新過，成了永久的“沉默賬號”。

圖3.8    已發(fā)現(xiàn)到的Twitter平臺上該組織最早攻擊者發(fā)起的定向攻擊片段

四、攻擊樣本的誘導偽裝形式

諾崇獅組織為避免攻擊時被用戶察覺到，對攻擊樣本采用了圖標偽裝和功能偽裝兩種形式。通過圖標偽裝攻擊樣本把圖標換成正常應用的圖標；通過功能偽裝攻擊樣本除了帶有在后臺進行間諜活動的功能，還帶有正常應用的功能支持在前端界面展現(xiàn)，讓用戶難于察覺。

（一）圖標偽裝

攻擊樣本偽裝了幾類軟件的不同應用：游戲類應用(“Clash of Clans”和“Ludo”)、直播類應用(“Bigo live”和“worId cup”注:紅色的是大寫的i字母，非字母L) 和一些工具類應用。

圖4.1    惡意攻擊樣本采用的偽裝圖標

（二）帶正常應用功能進行偽裝

此次攻擊樣本進行帶正常應用功能的偽裝采用了兩種偽裝方式：一種是通過插包的方式，直接和正常應用整合在一起，整個過程只有一個應用；另一種是運行后，會釋放出正常的應用包，誘導用戶安裝正常應用進行正常使用，而自身再進行隱藏圖標，在后臺進行間諜活動，整個過程實際有兩個應用。

五、攻擊樣本分析

至今，諾崇獅組織在其歷史攻擊活動里已使用了四種移動端的RAT，包括開源的RAT（AndroRat）和三種商業(yè)RAT（SandroRat、SpyNote及MobiHok）。這些RAT都是很成熟的間諜木馬，用戶手機一旦安裝即刻能被攻擊者完全控制。

（一）Androrat

Androrat是一款開源在GitHub上的遠程管理工具，包含有基本的遠控功能，且可以根據(jù)自身能力擴展更豐富的監(jiān)控功能，支持攻擊者在PC上對受害用戶手機進行遠程操控。

圖5.1    Androrat被控端代碼結(jié)構(gòu)(左)和控制端管理界面(右)

（二）DroidJack

Droidjack是一種非常流行的商業(yè)RAT，目前官方售價$210。其功能強大，支持在PC上對手機進行遠程操控，使用很方便。

圖5.2    Droidjack被控端代碼結(jié)構(gòu)(左)和控制端管理界面(右)

（三） SpyNote

SpyNote類似Droidjack，也是一款流行的商業(yè)RAT。其支持的功能更豐富些，售價相對更貴，根據(jù)不同場景需求目前官方有兩種價位($499和$4000)。

圖5.3       SpyNote被控端代碼結(jié)構(gòu)(左)和控制端管理界面(右)

（四）       MobiHok

MobiHok價格不菲,有4種價位($700、$6500、$11000和$20000)，曾是阿·拉伯地區(qū)流行的商業(yè)RAT，目前已被漢化引入，詳情請參閱我們此前發(fā)布過的歷史報告《阿拉·伯木馬成功漢化，多款APP慘遭模仿用于攻擊》。

圖5.4       MobiHok被控端代碼結(jié)構(gòu)(左)和控制端管理界面(右)

六、  攻擊組織溯源分析

從整個攻擊中，我們總結(jié)了諾崇獅組織以下特點：

(1)   針對的目標包含：懂阿·拉伯語的人、什葉派人等

(2)   攻擊活動時間活躍在：2015年4月22日（也門干預行動的“OperationRestoring Hope”當天）至2018年9月21日。

(3)   攻擊隊伍較大，有大量的Twitter賬號。

(4)   根據(jù)兩個攻擊者間的交流目的是為了改變評論者，而攻擊后的結(jié)果是被攻擊者變成了“沉默賬號”。

圖6.1    Twitter平臺上的兩名攻擊者間的一次交流

(5)   其中一個攻擊者第一條消息向賬號“qahtan_tribe”發(fā)了個問候語，“qahtan_tribe”賬號不久前還在使用卡塔尼的頭像，結(jié)合該賬號的信息及權(quán)力，看起來其甚至有著和Twitter一樣地位的“權(quán)限”。

圖6.2    Twitter平臺上的一名攻擊者的首條消息的問候

七、  總結(jié)

此次諾崇獅組織的攻擊主要發(fā)生在公開的社交媒體平臺。近幾年，公開的社交媒體平臺成為了某幾個國家電子軍的另一個戰(zhàn)場，我們也看到多個社交媒體平臺也都在致力應對，當然我們也知道這種威脅不是在短期能夠解決避免的，這需要多方配合一起努力才能有效遏制。

如果你是公開的社交媒體平臺的一名用戶，請務必保持安全防范意識，安裝上必要的官方來源安全防護軟件，做好個人敏感隱私數(shù)據(jù)不在公開的社交媒體平臺上或者甚至不公開，不輕易點擊或者接收其他人發(fā)來的圖片、視頻及鏈接等!

而作為安全廠商，在這個萬物互聯(lián)的時代，如何根據(jù)不同的客戶場景定制出對應的有效安全防護產(chǎn)品和策略，做到能及時查殺攔截及發(fā)現(xiàn)，做好保障住國家安全、用戶生命財產(chǎn)安全及數(shù)據(jù)安全，是我們當下最首要需要攻克的命題，望一起堅定信念，不停探索，共同奮斗。

附錄：參考信息

《紐·約時報》：Saudis’ Image Makers: A Troll Army and a TwitterInsider

《紐·約時報》：Former Twitter Employees Charged With Spying forSaudi Arabia

《紐·約時報》：Someone Tried to Hack My Phone. TechnologyResearchers Accused Saudi Arabia.

《華盛·頓郵報》：Former Twitter employees charged with spying forSaudi Arabia by digging into the accounts of kingdom critics

公民實驗室(CitizenLab)：Stoppingthe Press

NewYork Times Journalist Targeted by Saudi-linked Pegasus Spyware Operator

《Vice》：How ‘Mr. Hashtag’ Helped Saudi Arabia Spy onDissidents

《貝靈貓》：Lord Of The Flies: An Open-Source InvestigationInto Saud Al-Qahtani

Twitter通告：New disclosures to our archive of state-backedinformation operations

雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。