【APT组织情报】军刀狮

【APT组织情报】军刀狮

团伙概况

团伙名称军刀狮
攻击者类型国家背景组织
技术能力
负责国家/地区
最早活动时间2015-07-01
影响行业
别名APT-C-38,ZooPark,APT-Q-66
攻击方式军刀狮组织载荷投递的方式主要为水坑攻击和Telegram频道
攻击频率
影响国家/地区阿尔及利亚、埃及、土耳其、伊拉克、伊朗、阿富汗、约旦、黎巴嫩等中东地区国家
最近活动时间2019-05-27
常用语言波斯语、阿拉伯语



团伙描述

ZooPark(军刀狮)组织最早是由Kaspersky于2018披露并命名的组织,该组织自2015开始活跃,主要攻击目标为伊朗、约旦、埃及、黎巴嫩等中东地区国家,其攻击武器共包含四个迭代版本的Android端RAT,且版本间代码复杂度提升极大。 2019年,360烽火实验室再次捕获该组织针对中东地区库尔德人攻击活动中的Android及Windows平台样本,并将该组织命名为军刀狮。此次攻击活动仍然以水坑攻击以及Telegram频道为主,分发伪装成正常APP的RAT样本。

技战法

该组织常使用水坑攻击和Telegram频道进行恶意载荷的投递,并且会通过对安装文件图标的替换和包含正常功能的方式减少被察觉的几率。

相关攻击战术:

1. 水坑攻击,在水坑网站植入木马文件下载链接

2. 使用Telegram频道传播恶意软件。

相关攻击技术:

1. 通过替换文件图标避免用户觉察

2. 所安装的RAT程序含有正常功能和界面,只有在接受到指定广播时才进行间谍活动。

历史报告

发现时间报告名称发布厂商
2019-05-27APT-C-38攻击活动揭露360集团
2018-05-21It’s a Zoo Out There! Data Analysis of Alleged ZooPark DumpMcAfee
2018-05-11Vigilante Hacks Government-Linked Cyberespionage GroupMotherboard
2018-05-03Who’s who in the ZooKaspersky

情报信息

文件hash情报

文件类型文件哈希值
md5eb3310f19720abddc34c4602983e4f3c
md5f4355a61d7ac60d3282a9a207a643589
md5fd5ba76f85c9746f7a326b954874f5a6
md52818ecde79cedc1e181d7b69f14840a6
md518bbad1bb492a395a5496d0859edcb71
md5c8f9cbb347d5687be5c5b71e3ffea4aa
md5964e7b04a905e90821217f1c09d33e55
md58c49833f76b17fdaafe5130f249312ca
md5291c3f5b9b53381283a044e337899c84
md5bef2dddd8892a4985879971cf437d79b
md571d0cea1bee13d1e36b5a53788001b85
md5e6e676df8250a7b930b2d016458225e2
md5d195511307a2c5ac52bebf8a98b9dfae
md5212a1fe299b8a0b27bc02562a090b46a
md5484d74ebd0e3586e2ff694017dcaa9e3
md5dc1ede8e2d3206b04cb95b6ae62f43e0
md51eb8e8667ed7d2a07076e3d240207613
md52706be45411ed22ce456b8fe8273b285
md5d9153bdf30e0a3ab31601e43d85c9949
md5d2c40e2183cf18855c36ddd14f8e966f
md59094df33aa0d6b1dd4efaf34e91a05c4
md54fa306739fd3ecc75b0ee202a614061d
md5e2448384afff94f2cc825d0a6c285e35
md50cd6e0765317b9f251670033fc296bbd
md50992b87c510d4cd135e02e432fcb492b
md574ef1c5905200ea664a603a67554422b
md51d5e36be4b94289f214447964ede688d
md5daf7f053cf78690ff0c6ec0384d85bf2
md5d207a876369681ed476f650d808a25a8
md5249aad5d2722b69aac7ed27c9e669c79
md531aad6045f403fcd397e19cad4f80d1f
md5523845736fc92ea80e9880641b768dc1
md57d50a9bd474a7c5878ac8e0e4a183a8b
md5bf14b74f212cf642c83a34f633732b5d
sha25653b82c6a853582b62a6c56470401783dec61a252aba04d7ebcc1fd36979a5c82
sha256ec11366740c638feda1dbd91ffd5eef522098653b9b91dbb7ba000f5bdde6d70
sha25603d82852bbb28d1740e50206e7726c006b9b984a8309e2f203e65a67d7d3bcad
sha2563b1e0bf8639592578420e7182fb2f9a8d84c6a002f87a212758f4de8c08010b6
sha2562e5f9bb1cef985eab15ad8d9072e51c71be2810fea789836b401b96bc898943b
sha2567d989a9a3faef377f2556e090014f96ba3bf8a8299ba256d30fab41710499a7c
sha256b6a31f6c12c2a51b507be44ce14b39728e38a63392b0f327dbbc4b71785d6148
sha25636fe809c98b18a04276811b34d3c98fbfe569af157428fc01338966c0bf88d48
sha25695e1b3445b2e0d0b8d57bbd909f474225485116ee90fa56fc0b151d3c244a156
sha25608fa35e25f4c7a6279a84b337d541989498d74f2c5e84cc4039d667fedc725c7

域名/IP情报

类型IOC列表
域名showroommontorgueil.com
域名www.alhayatnews.com
域名www.rhubarb3.com
域名www.anquanclub.cn
域名googleupdators.com
域名adobeseupdater.com
域名androidupdaters.com
域名dlgmail.com
域名solar64.xp3.biz
域名entekhab10.xp3.biz
域名rhubarb3.com
域名adobeactiveupdate.com
域名dlstube.com
域名adobeactiveupdates.com
域名rhubarb2.com
域名dlstubes.com
域名www.rhubarb2.com
域名www.androidupdaters.com
域名www.googleupdators.com
域名www.dlstubes.com
域名fhjsdkla.com
域名www.rhubarb3.com
域名askdownloaders.adobeactiveupdates.com
域名www.dlgmail.com
域名mail.dlstubes.com
域名mail.adobeactiveupdates.com
域名www.askdownloaders.adobeactiveupdates.com
域名mail.googleupdators.com
域名ww.rhubarb2.com
域名mail.dldocuments.com
域名dldocuments.com
域名mail.dlgmail.com
域名mail.dlstube.com
域名mail.androidupdaters.com
域名alnaharegypt.news
域名showroommontorgueil.com
域名mail.adobeactiveupdate.com
域名mta-sts.mail.androidupdaters.com
域名mx.dlgmail.com
域名www.dlstube.com
域名www.dldocuments.com
域名mail.rhubarb3.com
域名mx.dlgmail.com
域名dlgmail.com
域名mail.dlgmail.com
域名www.dlgmail.com
域名www.dldocuments.com
域名dldocuments.com
域名mail.dldocuments.com
域名www.rhubarb2.com
域名adobeseupdater.com
域名www.dlstubes.com
域名www.dlstube.com
域名androidupdaters.com
域名solar64.xp3.biz
域名www.googleupdators.com
域名rhubarb2.com
域名entekhab10.xp3.biz
域名api.cnetdown.com
域名dlstube.com
域名adobeactiveupdate.com
域名mail.dlstubes.com
域名www.askdownloaders.adobeactiveupdates.com
域名googleupdators.com
域名mail.dlstube.com
域名mail.rhubarb3.com
域名mta-sts.mail.androidupdaters.com
域名adobeactiveupdates.com
域名mail.androidupdaters.com
域名mail.googleupdators.com
域名mail.adobeactiveupdates.com
域名mail.adobeactiveupdate.com
域名www.androidupdaters.com
域名ww.rhubarb2.com
域名askdownloaders.adobeactiveupdates.com
域名www.adobeactiveupdates.com
域名dlstubes.com
域名showroommontorgueil.com
域名alnaharegypt.news
IP91.109.23.175
IP5.61.27.154
IP5.61.27.157
IP5.61.27.173
IP119.8.16.23
© 版权声明
THE END
喜欢就支持一下吧
点赞10 分享
评论 共1条

请登录后发表评论