【APT组织情报】人面狮

【APT组织情报】人面狮

团伙概况

团伙名称人面狮
攻击者类型国家背景组织
技术能力
负责国家/地区
最早活动时间2011-12-01
影响行业
别名APT-Q-62,APT-C-15,Sphinx
攻击方式水坑攻击
攻击频率
影响国家/地区埃及和以色列
最近活动时间2017-12-19
常用语言阿拉伯语



团伙描述

人面狮最早由奇安信威胁情报中心于2016年7月发现并命名,该组织活跃在中东地区的网络间谍活动,主要目标可能涉及到埃及和以色列等国家的不同组织,目的是窃取目标敏感数据信息。

活跃时间主要集中在2014年6月到2015年11月期间,相关攻击活动最早可以追溯到2011年12月。

2017年12月,国外安全厂商趋势科技发布报告,人面狮使用AnubisSpy移动端恶意软件进行攻击。

人面狮APT组织主要采用利用社交网络进行水坑攻击,人面狮样本将主程序进行伪装成文档诱导用户点击,然后释放一系列的dll,根据功能分为9个插件模块,通过注册资源管理器插件的方式来实现核心dll自启动,然后由核心dll根据配置文件进行远程dll注入,将其他功能dll模块注入的对应的进程中,所以程序运行的时候是没有主程序的。

技战法

1. 使用水坑攻击

2. 将主程序进行伪装成文档或者图片诱导用户点击

3. 使用dll远程注入,使用dll进行插件功能管理。

4. 使用ROck,njRat等木马 ,要功能是窃取用户信息,比如系统信息、键盘和鼠标记录、skype监控、摄像头和麦克风监控等。

历史报告

发现时间报告名称发布厂商
2017-12-19Cyberespionage Campaign Sphinx Goes Mobile With AnubisSpyTrend Micro
2016-07-01人面狮行动360集团

情报信息

文件hash情报

文件类型文件哈希值
MD59eb2a874c022a8be7534ba006d44f699
MD552f461a133e95328ccd9ba7f70e2f3e6
MD520647f395a044de094c48f24505a2f02
MD528c3759bccb1578b9e094920a32813ef
MD5c80b3fb9293a932b4e814a32e7ca76d3
MD5b00f5e53cc654a3ac7a0e72cd3b5f5d3
MD51c9f350373bdfe2c72625d8d9132b073
MD5453c829c2b7f504e28b554927f4bc1f2

域名/IP情报

类型IOC列表
域名avg99.does-it.net
域名p251644.infopicked.com
域名p220333.infopicked.com
域名p377977.infopicked.com
域名p178775.infopicked.com
域名p230710.infopicked.com
域名p421803.infopicked.com
域名p368417.infopicked.com
域名p328123.infopicked.com
域名p400089.infopicked.com
域名p277439.infopicked.com
域名p329076.infopicked.com
域名p245721.infopicked.com
域名p377843.infopicked.com
域名p52929.infopicked.com
域名p309496.infopicked.com
域名p394129.infopicked.com
域名p330242.infopicked.com
域名p291922.infopicked.com
域名p421218.infopicked.com
域名p417936.infopicked.com
域名p421832.infopicked.com
域名p265797.infopicked.com
域名p397008.infopicked.com
域名p389666.infopicked.com
域名p381245.infopicked.com
域名p424846.infopicked.com
域名p340910.infopicked.com
域名p376122.infopicked.com
域名p420231.infopicked.com
域名p131675.infopicked.com
域名p321539.infopicked.com
域名ngp4.infopicked.com
域名p374865.infopicked.com
域名p102226.infopicked.com
域名p25433.infopicked.com
域名p411324.infopicked.com
域名ngp1.infopicked.com
域名www.ru-id21387192837.com
域名infopicked.com
域名ww2.wooddown.com
域名ww92.wooddown.com
域名www.wooddown.com
域名wooddown.com
域名hsbc-auth-2.ru
域名beta.infopicked.com
域名ru-id21387192837.com
域名hjhqmbxyinislkkt.1j9r76.top
域名p27dokhpz2n7nvgr.1lseoi.top
域名p34008.infopicked.com
域名p226681.infopicked.com
IP86.105.18.107
IP91.120.216.0
IP91.119.216.0
IP91.121.216.0
IP91.121.40.141
IP13.90.196.81
IP91.218.114.29
IP111.67.16.202
IP194.31.59.5
IP37.228.151.133
IP91.239.24.70
IP91.239.24.0
IP91.120.56.0
IP91.121.56.0
IP176.121.14.95
IP87.98.148.0
IP213.32.66.16
IP87.96.148.0
IP87.97.148.0
IP185.67.2.156
IP185.102.136.67
© 版权声明
THE END
喜欢就支持一下吧
点赞14 分享
评论 共1条

请登录后发表评论