【APT组织情报】拍拍熊

【APT组织情报】拍拍熊


团伙概况

团伙名称拍拍熊
攻击者类型国家背景组织
技术能力
负责国家/地区
最早活动时间2015-10-01
影响行业宗教
别名APT-C-37,APT-Q-67
攻击方式水坑攻击
攻击频率
影响国家/地区法国、土耳其、伊朗、伊拉克、埃及、巴基斯坦等
最近活动时间2020-01-15
常用语言阿拉伯语



团伙描述

拍拍熊组织(APT-C-37从2015年10月起至今,开始针对某武装组织展开了有组织、有计划、针对性的长期不间断攻击。其攻击平台为Windows和Android,截止目前360烽火实验室(360 Beaconlab)一共捕获了Android平台攻击样本32个,Windows平台攻击样本13个,涉及的C&C域名7个。截至目前,360烽火实验室发现此次拍拍熊组织攻击活动影响到的国家共有11个,通过查询可以知悉这些国家均存在某武装组织组织人员。

某武装组织由于其自身的政治、宗教等问题,使其成为了众多黑客及国家的攻击目标。2017年3月,某武装组织Amaq媒体频道发布了一条警告消息,该消息提醒访问者该网站已被渗透,任何访问该网站的人都会被要求下载伪装成Flash安装程序的病毒文件。从消息中我们确定了某武装组织是该行动的攻击目标,其载荷投递方式至少包括水坑式攻击。为更好的躲避被察觉到,除了对文件图标进行伪装外,还会把RAT插入到正常的APP中,如一款名为“زوجات الرسول”的APP,它运行后展示的是正常时的界面,但当接收到指定的广播时,便在后台进行间谍活动。此次拍拍熊组织载荷投递的方式主要为水坑攻击。Al Swarm新闻社网站是一个属于某武装组织的媒体网站,同样的原因,使其也遭受着来自世界各地的各种攻击,曾更换过几次域名,网站目前已经下线。拍拍熊组织除了对上述提到的Amaq媒体网站进行水坑攻击外,我们发现Al Swarm新闻社也同样被该组织用来水坑攻击。

360烽火实验室通过对此次拍拍熊攻击活动的分析,结合之前对黄金鼠组织的分析发现两个组织除掉攻击目标和各自的专属RAT外,两者在下面几个方面有很强的关联性。均熟悉阿拉伯语,持续数年针对Android和Windows平台,擅长水坑攻击。均使用多种RAT,其中大多数双方都有使用。两个组织在两个时间段内使用了处于同一网段的C&C。

拍拍熊组织在2015年10月出现首个攻击样本,使用的C&C位于中东某国,恰与该时期黄金老=鼠采用的处于同一个网段,2017年3月某武装组织Amaq媒体频道发布告警称该网站收到攻击,2017年9月某武装组织AI Swarm新闻媒体网站收到水坑攻击,2019年2月最后一个攻击样本被发现,使用的C&C仍和同时期的黄金鼠组织使用的C&C属于同一个网段。

技战法

针对Android和Windows平台,擅长水坑攻击。使用多种RAT

历史报告

发现时间报告名称发布厂商
2020-01-15Alien Labs 2019 Analysis of Threat Groups Molerats and APT-C-37AlienVault
2019-11-18APT组织“拍拍熊”对巴勒斯坦政府攻击事件报告瑞星
2019-11-07APT-C-37分析报告Gcow安全团队
2019-10-31APT组织“拍拍熊”的最新攻击活动分析微步在线
2019-10-09叙利亚电子军揭秘:管窥网络攻击在叙利亚内战中的作用与影响360集团
2019-03-25拍拍熊(APT-C-37):持续针对某武装组织的攻击活动揭露360集团

情报信息

文件hash情报

文件类型文件哈希值
md5eb3310f19720abddc34c4602983e4f3c
md5f4355a61d7ac60d3282a9a207a643589
md5fd5ba76f85c9746f7a326b954874f5a6
md52818ecde79cedc1e181d7b69f14840a6
md518bbad1bb492a395a5496d0859edcb71
md5c8f9cbb347d5687be5c5b71e3ffea4aa
md5964e7b04a905e90821217f1c09d33e55
md58c49833f76b17fdaafe5130f249312ca
md5291c3f5b9b53381283a044e337899c84
md5bef2dddd8892a4985879971cf437d79b
md571d0cea1bee13d1e36b5a53788001b85
md5e6e676df8250a7b930b2d016458225e2
md5d195511307a2c5ac52bebf8a98b9dfae
md5212a1fe299b8a0b27bc02562a090b46a
md5484d74ebd0e3586e2ff694017dcaa9e3
md5dc1ede8e2d3206b04cb95b6ae62f43e0
md51eb8e8667ed7d2a07076e3d240207613
md52706be45411ed22ce456b8fe8273b285
md5d9153bdf30e0a3ab31601e43d85c9949
md5d2c40e2183cf18855c36ddd14f8e966f
md59094df33aa0d6b1dd4efaf34e91a05c4
md54fa306739fd3ecc75b0ee202a614061d
md5e2448384afff94f2cc825d0a6c285e35
md50cd6e0765317b9f251670033fc296bbd
md50992b87c510d4cd135e02e432fcb492b
md574ef1c5905200ea664a603a67554422b
md51d5e36be4b94289f214447964ede688d
md5daf7f053cf78690ff0c6ec0384d85bf2
md5d207a876369681ed476f650d808a25a8
md5249aad5d2722b69aac7ed27c9e669c79
md531aad6045f403fcd397e19cad4f80d1f
md5523845736fc92ea80e9880641b768dc1
md57d50a9bd474a7c5878ac8e0e4a183a8b
md5bf14b74f212cf642c83a34f633732b5d
md58b1371c992e14533c950e6ddf265deba
sha25653b82c6a853582b62a6c56470401783dec61a252aba04d7ebcc1fd36979a5c82
sha256ec11366740c638feda1dbd91ffd5eef522098653b9b91dbb7ba000f5bdde6d70
sha25603d82852bbb28d1740e50206e7726c006b9b984a8309e2f203e65a67d7d3bcad
sha2563b1e0bf8639592578420e7182fb2f9a8d84c6a002f87a212758f4de8c08010b6
sha2562e5f9bb1cef985eab15ad8d9072e51c71be2810fea789836b401b96bc898943b
sha2567d989a9a3faef377f2556e090014f96ba3bf8a8299ba256d30fab41710499a7c
sha256b6a31f6c12c2a51b507be44ce14b39728e38a63392b0f327dbbc4b71785d6148
sha25636fe809c98b18a04276811b34d3c98fbfe569af157428fc01338966c0bf88d48
sha25695e1b3445b2e0d0b8d57bbd909f474225485116ee90fa56fc0b151d3c244a156
sha25608fa35e25f4c7a6279a84b337d541989498d74f2c5e84cc4039d667fedc725c7

域名/IP情报

类型IOC列表
域名sawarim.net
域名androids-app.com
域名webhoptest.webhop.info
域名mmksba.simple-url.com
域名mmksba.dyndns.org
域名webhoptest.webhop.info
域名sawarim.org
域名isdarats.pw
域名chatsecurelite.us.to
域名btcaes2.duckdns.org
域名samd2.duckdns.org
域名sorry.duckdns.org
域名samd1.duckdns.org
域名sooma-in-heart.dyndns.org
域名miracl-jewll.dyndns.org
域名www.sawarim.pw
域名androids-app.com
域名www.androids-app.com
域名sawarim.pw
域名snapcard.argia.co.id
域名go.sawarim.xyz
域名sawarim.com
域名pubs.sawarim.com
域名sawar.im
域名sawarim.xyz
域名go.sawar.im
域名isdarats.com
域名pubs.sawar.im
域名www.da3da3.duckdns.org
域名www.sorry.duckdns.org
域名www.isdarats.pw
域名www.btcaes2.duckdns.org
域名www.sawarim.net
域名www.samd1.duckdns.org
域名www.sawarim.com
域名pubs.sawarim.xyz
域名mail.androids-app.com
域名download3.pubs.sawarim.com
域名go.sawarim.net
域名www.sawar.im
域名go.sawarim.com
域名new2019.mine.nu
域名adamnews.for.ug
域名mslove.mypressonline.com
域名go.sawarim.com
域名www.sawarim.com
域名sawarim.com
域名pubs.sawarim.com
域名download3.pubs.sawarim.com
域名go.sawarim.xyz
域名pubs.sawarim.xyz
域名sawarim.xyz
域名go.sawar.im
域名pubs.sawar.im
域名www.sawar.im
域名download3.pubs.sawar.im
域名sawar.im
域名isdarats.com
域名sorry.duckdns.org
域名samd1.duckdns.org
域名samd2.duckdns.org
域名btcaes2.duckdns.org
域名www.sawarim.pw
域名www.androids-app.com
域名www.sawarim.net
域名go.sawarim.net
域名snapcard.argia.co.id
域名mail.androids-app.com
域名da3da3.duckdns.org
域名www.samd1.duckdns.org
域名www.da3da3.duckdns.org
域名www.btcaes2.duckdns.org
域名www.sorry.duckdns.org
域名www.isdarats.pw
IP192.119.111.4
IP66.85.157.86
IP192.119.87.148
IP144.91.65.101
© 版权声明
THE END
喜欢就支持一下吧
点赞29 分享
评论 共1条

请登录后发表评论