admin管理员组

文章数量:1559090

感兴趣可以了解关注一下

情报披露日期:2018.9.7

行动名称:domestic kitten,直译 “家猫” (大概)

组织来源:伊朗国家队

行动时间:自2016年起

攻击目标:其攻击目标为伊朗公民,这些公民基本属于

包括库尔德人和土耳其本地人以及isis支持者

攻击目的:监视可能对伊朗政权稳定构成威胁的个人和团体。这些可能包括内部持不同政见者和反对派力量,以及伊斯兰国的倡导者和主要在伊朗西部定居的库尔德少数民族。

攻击手段:伪装成各类主题的安卓app,原文披露了4个hash,内容分别如下:

一、以isis为主题的恶意软件,名称دولة خلافة الاسلامیة

(e272df5c9abd7d4c03982bb506922428)

应用名称翻译大概如下,

我打开直接闪退= =,下为原文图

二、hewalekem(fd735cfab42437334d20309584663c57)

这是库尔德语,查了一圈貌似是你好的意思

三、anf新闻网站,该样本内嵌了一个webview界面,加载的是正常的

库尔德新闻网站,以此诱导用户点开。(还是没加载起来,原图)

(d0a155f29034dd913fdcf2b1631b2805)

四、vidogram(10c9ff8200b6f9233f36323609c47fc2),这个没啥好说的,就是简单的伪装。

样本特征:

这四个样本均具有通用的特征,如下所示

一、

四个样本的证书签名均为telecom2016@yahoo[.]com这个邮箱

二、

包名均存在拼写android错误,andriod/browser

三、

收集信息如下:

短信/彩信

通讯记录

联系人列表

浏览器历史记录和书签

外接存储设备(sdcard等)

app应用清单

剪贴板内容

地理位置和相机照片

收集录音

上面的数据通过http post请求将数据回传

四、

上面提到的以isis为主题的app与其他三个不同,

像文件上传会以c&c/upload-file.php?uuid=uuid 的方式进行上传

c&c地址

剩下三个会通过base64加异或的方式解出

五、

被盗数据均采用~~~的格式进行日志记录,日志文件名为

uuid_logdate_logtime.log 其中uuid为受害者设备的uuid号。

下列为获取的受害者的数据信息,通过下列格式存入日志中。

上述各类收集完数据后,日志会采用aes加密,密钥为uuid,当接收到服务器命令后,会将文件发出去。

服务器的命令也与该日志格式类似,像get~~~file这种

ioc信息

邮箱信息:

telecom2016@yahoo[.]com

ip域名信息:

162[.]248[.]247[.]172

190[.]2[.]144[.]140

190[.]2[.]145[.]145

89[.]38[.]98[.]49

firmwaresystemupdate[.]com

stevenwentz[.]com

ronaldlubbers[.]site

georgethompson[.]space

样本中一些名词

razamoradi

daeshsh

相关链接:

https://research.checkpoint/domestic-kitten-an-iranian-surveillance-operation/

再犹豫价格又涨了

本文标签: domestic