拍拍熊 独家揭秘国际通缉犯“拍拍熊”(APT-C-37):持续对某武装组织发起攻击!
独家最近360安全脑抓到一个APT攻击,我们把它命名为APT-C-37。自2015年10月以来,APT-C-37对一个武装团体发动了有组织、有计划和有针对性的长期不间断攻击。该武装组织自身的政治和宗教问题使其成为许多黑客和国家的目标。
2017年3月,武装团体阿玛克媒体频道(Amaq Media Channel)发布了一条警告消息,提醒访问者该网站已被渗透,任何访问该网站的人都将被要求下载伪装成闪存安装程序的病毒文件。从新闻中我们确认了武装集团是pat bear行动的攻击目标,其载荷投放方式至少包括水坑攻击。
什么是「拍拍熊」?
通过分析,360Beaconlab发现Pat Bear的攻击平台是Windows和Android,并捕获了Android平台的32个攻击样本和Windows平台的13个攻击样本,涉及C & amp有7 C域名,该组织使用的主要C&之一;C位于中东某国,同时C&被金鼠标组织使用[1];c属于同一个网段。经过进一步的分析和比较,两个组织有很强的相关性,但也包含了各自独特的RAT。
均熟悉阿拉伯语,持续数年针对Android和Windows平台,擅长水坑攻击。均使用多种RAT,其中大多数双方都有使用。两个组织在两个时间段内使用了处于同一网段的C&C。由于Pat Bear组织的攻击目标是武装组织,支持双平台攻击,并且历史上已经出现了唯一一种具有中东某国特色的带有士兵证的动物,结合该组织的一些其他特点和360 APT组织的命名规则,我们将该组织命名为DOTA游戏中的一个角色名称——Pat Bear。
表1 .具体RAT程序在1。安卓端
下载链接并链接对应文件MD5
除了以上针对某武装组织新闻媒体网站的两次水坑攻击,我们还发现该组织使用的其他一些历史水坑攻击如表2所示,包括Android和Windows上RAT程序的具体下载链接以及该链接对应的文件MD5。
附录三:参考链接
[1]https://ti.360.net/blog/articles/analysis-of-apt-c-27/
[2]https://en.wikipedia.org/wiki/Njrat
[3]https://www . fireeye . com/blog/threat-research/2013/09/now-you-see-me-h-worm-by-Houdini . html