团伙概况
| 团伙名称 | 人面狮 |
| 攻击者类型 | 国家背景组织 |
| 技术能力 | 低 |
| 负责国家/地区 | – |
| 最早活动时间 | 2011-12-01 |
| 影响行业 | – |
| 别名 | APT-Q-62,APT-C-15,Sphinx |
| 攻击方式 | 水坑攻击 |
| 攻击频率 | 低 |
| 影响国家/地区 | 埃及和以色列 |
| 最近活动时间 | 2017-12-19 |
| 常用语言 | 阿拉伯语 |
团伙描述
人面狮最早由奇安信威胁情报中心于2016年7月发现并命名,该组织活跃在中东地区的网络间谍活动,主要目标可能涉及到埃及和以色列等国家的不同组织,目的是窃取目标敏感数据信息。
活跃时间主要集中在2014年6月到2015年11月期间,相关攻击活动最早可以追溯到2011年12月。
2017年12月,国外安全厂商趋势科技发布报告,人面狮使用AnubisSpy移动端恶意软件进行攻击。
人面狮APT组织主要采用利用社交网络进行水坑攻击,人面狮样本将主程序进行伪装成文档诱导用户点击,然后释放一系列的dll,根据功能分为9个插件模块,通过注册资源管理器插件的方式来实现核心dll自启动,然后由核心dll根据配置文件进行远程dll注入,将其他功能dll模块注入的对应的进程中,所以程序运行的时候是没有主程序的。
技战法
1. 使用水坑攻击
2. 将主程序进行伪装成文档或者图片诱导用户点击
3. 使用dll远程注入,使用dll进行插件功能管理。
4. 使用ROck,njRat等木马 ,要功能是窃取用户信息,比如系统信息、键盘和鼠标记录、skype监控、摄像头和麦克风监控等。
历史报告
| 发现时间 | 报告名称 | 发布厂商 |
|---|---|---|
| 2017-12-19 | Cyberespionage Campaign Sphinx Goes Mobile With AnubisSpy | Trend Micro |
| 2016-07-01 | 人面狮行动 | 360集团 |
情报信息
文件hash情报
| 文件类型 | 文件哈希值 |
|---|---|
| MD5 | 9eb2a874c022a8be7534ba006d44f699 |
| MD5 | 52f461a133e95328ccd9ba7f70e2f3e6 |
| MD5 | 20647f395a044de094c48f24505a2f02 |
| MD5 | 28c3759bccb1578b9e094920a32813ef |
| MD5 | c80b3fb9293a932b4e814a32e7ca76d3 |
| MD5 | b00f5e53cc654a3ac7a0e72cd3b5f5d3 |
| MD5 | 1c9f350373bdfe2c72625d8d9132b073 |
| MD5 | 453c829c2b7f504e28b554927f4bc1f2 |
域名/IP情报
| 类型 | IOC列表 |
|---|---|
| 域名 | avg99.does-it.net |
| 域名 | p251644.infopicked.com |
| 域名 | p220333.infopicked.com |
| 域名 | p377977.infopicked.com |
| 域名 | p178775.infopicked.com |
| 域名 | p230710.infopicked.com |
| 域名 | p421803.infopicked.com |
| 域名 | p368417.infopicked.com |
| 域名 | p328123.infopicked.com |
| 域名 | p400089.infopicked.com |
| 域名 | p277439.infopicked.com |
| 域名 | p329076.infopicked.com |
| 域名 | p245721.infopicked.com |
| 域名 | p377843.infopicked.com |
| 域名 | p52929.infopicked.com |
| 域名 | p309496.infopicked.com |
| 域名 | p394129.infopicked.com |
| 域名 | p330242.infopicked.com |
| 域名 | p291922.infopicked.com |
| 域名 | p421218.infopicked.com |
| 域名 | p417936.infopicked.com |
| 域名 | p421832.infopicked.com |
| 域名 | p265797.infopicked.com |
| 域名 | p397008.infopicked.com |
| 域名 | p389666.infopicked.com |
| 域名 | p381245.infopicked.com |
| 域名 | p424846.infopicked.com |
| 域名 | p340910.infopicked.com |
| 域名 | p376122.infopicked.com |
| 域名 | p420231.infopicked.com |
| 域名 | p131675.infopicked.com |
| 域名 | p321539.infopicked.com |
| 域名 | ngp4.infopicked.com |
| 域名 | p374865.infopicked.com |
| 域名 | p102226.infopicked.com |
| 域名 | p25433.infopicked.com |
| 域名 | p411324.infopicked.com |
| 域名 | ngp1.infopicked.com |
| 域名 | www.ru-id21387192837.com |
| 域名 | infopicked.com |
| 域名 | ww2.wooddown.com |
| 域名 | ww92.wooddown.com |
| 域名 | www.wooddown.com |
| 域名 | wooddown.com |
| 域名 | hsbc-auth-2.ru |
| 域名 | beta.infopicked.com |
| 域名 | ru-id21387192837.com |
| 域名 | hjhqmbxyinislkkt.1j9r76.top |
| 域名 | p27dokhpz2n7nvgr.1lseoi.top |
| 域名 | p34008.infopicked.com |
| 域名 | p226681.infopicked.com |
| IP | 86.105.18.107 |
| IP | 91.120.216.0 |
| IP | 91.119.216.0 |
| IP | 91.121.216.0 |
| IP | 91.121.40.141 |
| IP | 13.90.196.81 |
| IP | 91.218.114.29 |
| IP | 111.67.16.202 |
| IP | 194.31.59.5 |
| IP | 37.228.151.133 |
| IP | 91.239.24.70 |
| IP | 91.239.24.0 |
| IP | 91.120.56.0 |
| IP | 91.121.56.0 |
| IP | 176.121.14.95 |
| IP | 87.98.148.0 |
| IP | 213.32.66.16 |
| IP | 87.96.148.0 |
| IP | 87.97.148.0 |
| IP | 185.67.2.156 |
| IP | 185.102.136.67 |
© 版权声明
THE END
- 最新
- 最热
只看作者