团伙概况
| 团伙名称 | 拍拍熊 |
| 攻击者类型 | 国家背景组织 |
| 技术能力 | 低 |
| 负责国家/地区 | – |
| 最早活动时间 | 2015-10-01 |
| 影响行业 | 宗教 |
| 别名 | APT-C-37,APT-Q-67 |
| 攻击方式 | 水坑攻击 |
| 攻击频率 | – |
| 影响国家/地区 | 法国、土耳其、伊朗、伊拉克、埃及、巴基斯坦等 |
| 最近活动时间 | 2020-01-15 |
| 常用语言 | 阿拉伯语 |
团伙描述
拍拍熊组织(APT-C-37从2015年10月起至今,开始针对某武装组织展开了有组织、有计划、针对性的长期不间断攻击。其攻击平台为Windows和Android,截止目前360烽火实验室(360 Beaconlab)一共捕获了Android平台攻击样本32个,Windows平台攻击样本13个,涉及的C&C域名7个。截至目前,360烽火实验室发现此次拍拍熊组织攻击活动影响到的国家共有11个,通过查询可以知悉这些国家均存在某武装组织组织人员。
某武装组织由于其自身的政治、宗教等问题,使其成为了众多黑客及国家的攻击目标。2017年3月,某武装组织Amaq媒体频道发布了一条警告消息,该消息提醒访问者该网站已被渗透,任何访问该网站的人都会被要求下载伪装成Flash安装程序的病毒文件。从消息中我们确定了某武装组织是该行动的攻击目标,其载荷投递方式至少包括水坑式攻击。为更好的躲避被察觉到,除了对文件图标进行伪装外,还会把RAT插入到正常的APP中,如一款名为“زوجات الرسول”的APP,它运行后展示的是正常时的界面,但当接收到指定的广播时,便在后台进行间谍活动。此次拍拍熊组织载荷投递的方式主要为水坑攻击。Al Swarm新闻社网站是一个属于某武装组织的媒体网站,同样的原因,使其也遭受着来自世界各地的各种攻击,曾更换过几次域名,网站目前已经下线。拍拍熊组织除了对上述提到的Amaq媒体网站进行水坑攻击外,我们发现Al Swarm新闻社也同样被该组织用来水坑攻击。
360烽火实验室通过对此次拍拍熊攻击活动的分析,结合之前对黄金鼠组织的分析发现两个组织除掉攻击目标和各自的专属RAT外,两者在下面几个方面有很强的关联性。均熟悉阿拉伯语,持续数年针对Android和Windows平台,擅长水坑攻击。均使用多种RAT,其中大多数双方都有使用。两个组织在两个时间段内使用了处于同一网段的C&C。
拍拍熊组织在2015年10月出现首个攻击样本,使用的C&C位于中东某国,恰与该时期黄金老=鼠采用的处于同一个网段,2017年3月某武装组织Amaq媒体频道发布告警称该网站收到攻击,2017年9月某武装组织AI Swarm新闻媒体网站收到水坑攻击,2019年2月最后一个攻击样本被发现,使用的C&C仍和同时期的黄金鼠组织使用的C&C属于同一个网段。
技战法
针对Android和Windows平台,擅长水坑攻击。使用多种RAT
历史报告
| 发现时间 | 报告名称 | 发布厂商 |
|---|---|---|
| 2020-01-15 | Alien Labs 2019 Analysis of Threat Groups Molerats and APT-C-37 | AlienVault |
| 2019-11-18 | APT组织“拍拍熊”对巴勒斯坦政府攻击事件报告 | 瑞星 |
| 2019-11-07 | APT-C-37分析报告 | Gcow安全团队 |
| 2019-10-31 | APT组织“拍拍熊”的最新攻击活动分析 | 微步在线 |
| 2019-10-09 | 叙利亚电子军揭秘:管窥网络攻击在叙利亚内战中的作用与影响 | 360集团 |
| 2019-03-25 | 拍拍熊(APT-C-37):持续针对某武装组织的攻击活动揭露 | 360集团 |
情报信息
文件hash情报
| 文件类型 | 文件哈希值 |
|---|---|
| md5 | eb3310f19720abddc34c4602983e4f3c |
| md5 | f4355a61d7ac60d3282a9a207a643589 |
| md5 | fd5ba76f85c9746f7a326b954874f5a6 |
| md5 | 2818ecde79cedc1e181d7b69f14840a6 |
| md5 | 18bbad1bb492a395a5496d0859edcb71 |
| md5 | c8f9cbb347d5687be5c5b71e3ffea4aa |
| md5 | 964e7b04a905e90821217f1c09d33e55 |
| md5 | 8c49833f76b17fdaafe5130f249312ca |
| md5 | 291c3f5b9b53381283a044e337899c84 |
| md5 | bef2dddd8892a4985879971cf437d79b |
| md5 | 71d0cea1bee13d1e36b5a53788001b85 |
| md5 | e6e676df8250a7b930b2d016458225e2 |
| md5 | d195511307a2c5ac52bebf8a98b9dfae |
| md5 | 212a1fe299b8a0b27bc02562a090b46a |
| md5 | 484d74ebd0e3586e2ff694017dcaa9e3 |
| md5 | dc1ede8e2d3206b04cb95b6ae62f43e0 |
| md5 | 1eb8e8667ed7d2a07076e3d240207613 |
| md5 | 2706be45411ed22ce456b8fe8273b285 |
| md5 | d9153bdf30e0a3ab31601e43d85c9949 |
| md5 | d2c40e2183cf18855c36ddd14f8e966f |
| md5 | 9094df33aa0d6b1dd4efaf34e91a05c4 |
| md5 | 4fa306739fd3ecc75b0ee202a614061d |
| md5 | e2448384afff94f2cc825d0a6c285e35 |
| md5 | 0cd6e0765317b9f251670033fc296bbd |
| md5 | 0992b87c510d4cd135e02e432fcb492b |
| md5 | 74ef1c5905200ea664a603a67554422b |
| md5 | 1d5e36be4b94289f214447964ede688d |
| md5 | daf7f053cf78690ff0c6ec0384d85bf2 |
| md5 | d207a876369681ed476f650d808a25a8 |
| md5 | 249aad5d2722b69aac7ed27c9e669c79 |
| md5 | 31aad6045f403fcd397e19cad4f80d1f |
| md5 | 523845736fc92ea80e9880641b768dc1 |
| md5 | 7d50a9bd474a7c5878ac8e0e4a183a8b |
| md5 | bf14b74f212cf642c83a34f633732b5d |
| md5 | 8b1371c992e14533c950e6ddf265deba |
| sha256 | 53b82c6a853582b62a6c56470401783dec61a252aba04d7ebcc1fd36979a5c82 |
| sha256 | ec11366740c638feda1dbd91ffd5eef522098653b9b91dbb7ba000f5bdde6d70 |
| sha256 | 03d82852bbb28d1740e50206e7726c006b9b984a8309e2f203e65a67d7d3bcad |
| sha256 | 3b1e0bf8639592578420e7182fb2f9a8d84c6a002f87a212758f4de8c08010b6 |
| sha256 | 2e5f9bb1cef985eab15ad8d9072e51c71be2810fea789836b401b96bc898943b |
| sha256 | 7d989a9a3faef377f2556e090014f96ba3bf8a8299ba256d30fab41710499a7c |
| sha256 | b6a31f6c12c2a51b507be44ce14b39728e38a63392b0f327dbbc4b71785d6148 |
| sha256 | 36fe809c98b18a04276811b34d3c98fbfe569af157428fc01338966c0bf88d48 |
| sha256 | 95e1b3445b2e0d0b8d57bbd909f474225485116ee90fa56fc0b151d3c244a156 |
| sha256 | 08fa35e25f4c7a6279a84b337d541989498d74f2c5e84cc4039d667fedc725c7 |
域名/IP情报
| 类型 | IOC列表 |
|---|---|
| 域名 | sawarim.net |
| 域名 | androids-app.com |
| 域名 | webhoptest.webhop.info |
| 域名 | mmksba.simple-url.com |
| 域名 | mmksba.dyndns.org |
| 域名 | webhoptest.webhop.info |
| 域名 | sawarim.org |
| 域名 | isdarats.pw |
| 域名 | chatsecurelite.us.to |
| 域名 | btcaes2.duckdns.org |
| 域名 | samd2.duckdns.org |
| 域名 | sorry.duckdns.org |
| 域名 | samd1.duckdns.org |
| 域名 | sooma-in-heart.dyndns.org |
| 域名 | miracl-jewll.dyndns.org |
| 域名 | www.sawarim.pw |
| 域名 | androids-app.com |
| 域名 | www.androids-app.com |
| 域名 | sawarim.pw |
| 域名 | snapcard.argia.co.id |
| 域名 | go.sawarim.xyz |
| 域名 | sawarim.com |
| 域名 | pubs.sawarim.com |
| 域名 | sawar.im |
| 域名 | sawarim.xyz |
| 域名 | go.sawar.im |
| 域名 | isdarats.com |
| 域名 | pubs.sawar.im |
| 域名 | www.da3da3.duckdns.org |
| 域名 | www.sorry.duckdns.org |
| 域名 | www.isdarats.pw |
| 域名 | www.btcaes2.duckdns.org |
| 域名 | www.sawarim.net |
| 域名 | www.samd1.duckdns.org |
| 域名 | www.sawarim.com |
| 域名 | pubs.sawarim.xyz |
| 域名 | mail.androids-app.com |
| 域名 | download3.pubs.sawarim.com |
| 域名 | go.sawarim.net |
| 域名 | www.sawar.im |
| 域名 | go.sawarim.com |
| 域名 | new2019.mine.nu |
| 域名 | adamnews.for.ug |
| 域名 | mslove.mypressonline.com |
| 域名 | go.sawarim.com |
| 域名 | www.sawarim.com |
| 域名 | sawarim.com |
| 域名 | pubs.sawarim.com |
| 域名 | download3.pubs.sawarim.com |
| 域名 | go.sawarim.xyz |
| 域名 | pubs.sawarim.xyz |
| 域名 | sawarim.xyz |
| 域名 | go.sawar.im |
| 域名 | pubs.sawar.im |
| 域名 | www.sawar.im |
| 域名 | download3.pubs.sawar.im |
| 域名 | sawar.im |
| 域名 | isdarats.com |
| 域名 | sorry.duckdns.org |
| 域名 | samd1.duckdns.org |
| 域名 | samd2.duckdns.org |
| 域名 | btcaes2.duckdns.org |
| 域名 | www.sawarim.pw |
| 域名 | www.androids-app.com |
| 域名 | www.sawarim.net |
| 域名 | go.sawarim.net |
| 域名 | snapcard.argia.co.id |
| 域名 | mail.androids-app.com |
| 域名 | da3da3.duckdns.org |
| 域名 | www.samd1.duckdns.org |
| 域名 | www.da3da3.duckdns.org |
| 域名 | www.btcaes2.duckdns.org |
| 域名 | www.sorry.duckdns.org |
| 域名 | www.isdarats.pw |
| IP | 192.119.111.4 |
| IP | 66.85.157.86 |
| IP | 192.119.87.148 |
| IP | 144.91.65.101 |
- 最新
- 最热
只看作者