团伙概况
| 团伙名称 | 军刀狮 |
| 攻击者类型 | 国家背景组织 |
| 技术能力 | – |
| 负责国家/地区 | – |
| 最早活动时间 | 2015-07-01 |
| 影响行业 | – |
| 别名 | APT-C-38,ZooPark,APT-Q-66 |
| 攻击方式 | 军刀狮组织载荷投递的方式主要为水坑攻击和Telegram频道 |
| 攻击频率 | – |
| 影响国家/地区 | 阿尔及利亚、埃及、土耳其、伊拉克、伊朗、阿富汗、约旦、黎巴嫩等中东地区国家 |
| 最近活动时间 | 2019-05-27 |
| 常用语言 | 波斯语、阿拉伯语 |
团伙描述
ZooPark(军刀狮)组织最早是由Kaspersky于2018披露并命名的组织,该组织自2015开始活跃,主要攻击目标为伊朗、约旦、埃及、黎巴嫩等中东地区国家,其攻击武器共包含四个迭代版本的Android端RAT,且版本间代码复杂度提升极大。 2019年,360烽火实验室再次捕获该组织针对中东地区库尔德人攻击活动中的Android及Windows平台样本,并将该组织命名为军刀狮。此次攻击活动仍然以水坑攻击以及Telegram频道为主,分发伪装成正常APP的RAT样本。
技战法
该组织常使用水坑攻击和Telegram频道进行恶意载荷的投递,并且会通过对安装文件图标的替换和包含正常功能的方式减少被察觉的几率。
相关攻击战术:
1. 水坑攻击,在水坑网站植入木马文件下载链接
2. 使用Telegram频道传播恶意软件。
相关攻击技术:
1. 通过替换文件图标避免用户觉察
2. 所安装的RAT程序含有正常功能和界面,只有在接受到指定广播时才进行间谍活动。
历史报告
| 发现时间 | 报告名称 | 发布厂商 |
|---|---|---|
| 2019-05-27 | APT-C-38攻击活动揭露 | 360集团 |
| 2018-05-21 | It’s a Zoo Out There! Data Analysis of Alleged ZooPark Dump | McAfee |
| 2018-05-11 | Vigilante Hacks Government-Linked Cyberespionage Group | Motherboard |
| 2018-05-03 | Who’s who in the Zoo | Kaspersky |
情报信息
文件hash情报
| 文件类型 | 文件哈希值 |
|---|---|
| md5 | eb3310f19720abddc34c4602983e4f3c |
| md5 | f4355a61d7ac60d3282a9a207a643589 |
| md5 | fd5ba76f85c9746f7a326b954874f5a6 |
| md5 | 2818ecde79cedc1e181d7b69f14840a6 |
| md5 | 18bbad1bb492a395a5496d0859edcb71 |
| md5 | c8f9cbb347d5687be5c5b71e3ffea4aa |
| md5 | 964e7b04a905e90821217f1c09d33e55 |
| md5 | 8c49833f76b17fdaafe5130f249312ca |
| md5 | 291c3f5b9b53381283a044e337899c84 |
| md5 | bef2dddd8892a4985879971cf437d79b |
| md5 | 71d0cea1bee13d1e36b5a53788001b85 |
| md5 | e6e676df8250a7b930b2d016458225e2 |
| md5 | d195511307a2c5ac52bebf8a98b9dfae |
| md5 | 212a1fe299b8a0b27bc02562a090b46a |
| md5 | 484d74ebd0e3586e2ff694017dcaa9e3 |
| md5 | dc1ede8e2d3206b04cb95b6ae62f43e0 |
| md5 | 1eb8e8667ed7d2a07076e3d240207613 |
| md5 | 2706be45411ed22ce456b8fe8273b285 |
| md5 | d9153bdf30e0a3ab31601e43d85c9949 |
| md5 | d2c40e2183cf18855c36ddd14f8e966f |
| md5 | 9094df33aa0d6b1dd4efaf34e91a05c4 |
| md5 | 4fa306739fd3ecc75b0ee202a614061d |
| md5 | e2448384afff94f2cc825d0a6c285e35 |
| md5 | 0cd6e0765317b9f251670033fc296bbd |
| md5 | 0992b87c510d4cd135e02e432fcb492b |
| md5 | 74ef1c5905200ea664a603a67554422b |
| md5 | 1d5e36be4b94289f214447964ede688d |
| md5 | daf7f053cf78690ff0c6ec0384d85bf2 |
| md5 | d207a876369681ed476f650d808a25a8 |
| md5 | 249aad5d2722b69aac7ed27c9e669c79 |
| md5 | 31aad6045f403fcd397e19cad4f80d1f |
| md5 | 523845736fc92ea80e9880641b768dc1 |
| md5 | 7d50a9bd474a7c5878ac8e0e4a183a8b |
| md5 | bf14b74f212cf642c83a34f633732b5d |
| sha256 | 53b82c6a853582b62a6c56470401783dec61a252aba04d7ebcc1fd36979a5c82 |
| sha256 | ec11366740c638feda1dbd91ffd5eef522098653b9b91dbb7ba000f5bdde6d70 |
| sha256 | 03d82852bbb28d1740e50206e7726c006b9b984a8309e2f203e65a67d7d3bcad |
| sha256 | 3b1e0bf8639592578420e7182fb2f9a8d84c6a002f87a212758f4de8c08010b6 |
| sha256 | 2e5f9bb1cef985eab15ad8d9072e51c71be2810fea789836b401b96bc898943b |
| sha256 | 7d989a9a3faef377f2556e090014f96ba3bf8a8299ba256d30fab41710499a7c |
| sha256 | b6a31f6c12c2a51b507be44ce14b39728e38a63392b0f327dbbc4b71785d6148 |
| sha256 | 36fe809c98b18a04276811b34d3c98fbfe569af157428fc01338966c0bf88d48 |
| sha256 | 95e1b3445b2e0d0b8d57bbd909f474225485116ee90fa56fc0b151d3c244a156 |
| sha256 | 08fa35e25f4c7a6279a84b337d541989498d74f2c5e84cc4039d667fedc725c7 |
域名/IP情报
| 类型 | IOC列表 |
|---|---|
| 域名 | showroommontorgueil.com |
| 域名 | www.alhayatnews.com |
| 域名 | www.rhubarb3.com |
| 域名 | www.anquanclub.cn |
| 域名 | googleupdators.com |
| 域名 | adobeseupdater.com |
| 域名 | androidupdaters.com |
| 域名 | dlgmail.com |
| 域名 | solar64.xp3.biz |
| 域名 | entekhab10.xp3.biz |
| 域名 | rhubarb3.com |
| 域名 | adobeactiveupdate.com |
| 域名 | dlstube.com |
| 域名 | adobeactiveupdates.com |
| 域名 | rhubarb2.com |
| 域名 | dlstubes.com |
| 域名 | www.rhubarb2.com |
| 域名 | www.androidupdaters.com |
| 域名 | www.googleupdators.com |
| 域名 | www.dlstubes.com |
| 域名 | fhjsdkla.com |
| 域名 | www.rhubarb3.com |
| 域名 | askdownloaders.adobeactiveupdates.com |
| 域名 | www.dlgmail.com |
| 域名 | mail.dlstubes.com |
| 域名 | mail.adobeactiveupdates.com |
| 域名 | www.askdownloaders.adobeactiveupdates.com |
| 域名 | mail.googleupdators.com |
| 域名 | ww.rhubarb2.com |
| 域名 | mail.dldocuments.com |
| 域名 | dldocuments.com |
| 域名 | mail.dlgmail.com |
| 域名 | mail.dlstube.com |
| 域名 | mail.androidupdaters.com |
| 域名 | alnaharegypt.news |
| 域名 | showroommontorgueil.com |
| 域名 | mail.adobeactiveupdate.com |
| 域名 | mta-sts.mail.androidupdaters.com |
| 域名 | mx.dlgmail.com |
| 域名 | www.dlstube.com |
| 域名 | www.dldocuments.com |
| 域名 | mail.rhubarb3.com |
| 域名 | mx.dlgmail.com |
| 域名 | dlgmail.com |
| 域名 | mail.dlgmail.com |
| 域名 | www.dlgmail.com |
| 域名 | www.dldocuments.com |
| 域名 | dldocuments.com |
| 域名 | mail.dldocuments.com |
| 域名 | www.rhubarb2.com |
| 域名 | adobeseupdater.com |
| 域名 | www.dlstubes.com |
| 域名 | www.dlstube.com |
| 域名 | androidupdaters.com |
| 域名 | solar64.xp3.biz |
| 域名 | www.googleupdators.com |
| 域名 | rhubarb2.com |
| 域名 | entekhab10.xp3.biz |
| 域名 | api.cnetdown.com |
| 域名 | dlstube.com |
| 域名 | adobeactiveupdate.com |
| 域名 | mail.dlstubes.com |
| 域名 | www.askdownloaders.adobeactiveupdates.com |
| 域名 | googleupdators.com |
| 域名 | mail.dlstube.com |
| 域名 | mail.rhubarb3.com |
| 域名 | mta-sts.mail.androidupdaters.com |
| 域名 | adobeactiveupdates.com |
| 域名 | mail.androidupdaters.com |
| 域名 | mail.googleupdators.com |
| 域名 | mail.adobeactiveupdates.com |
| 域名 | mail.adobeactiveupdate.com |
| 域名 | www.androidupdaters.com |
| 域名 | ww.rhubarb2.com |
| 域名 | askdownloaders.adobeactiveupdates.com |
| 域名 | www.adobeactiveupdates.com |
| 域名 | dlstubes.com |
| 域名 | showroommontorgueil.com |
| 域名 | alnaharegypt.news |
| IP | 91.109.23.175 |
| IP | 5.61.27.154 |
| IP | 5.61.27.157 |
| IP | 5.61.27.173 |
| IP | 119.8.16.23 |
© 版权声明
THE END
- 最新
- 最热
只看作者