admin管理员组文章数量:1559090
感兴趣可以了解关注一下
情报披露日期:2018.9.7
行动名称:domestic kitten,直译 “家猫” (大概)
组织来源:伊朗国家队
行动时间:自2016年起
攻击目标:其攻击目标为伊朗公民,这些公民基本属于
包括库尔德人和土耳其本地人以及isis支持者
攻击目的:监视可能对伊朗政权稳定构成威胁的个人和团体。这些可能包括内部持不同政见者和反对派力量,以及伊斯兰国的倡导者和主要在伊朗西部定居的库尔德少数民族。
攻击手段:伪装成各类主题的安卓app,原文披露了4个hash,内容分别如下:
一、以isis为主题的恶意软件,名称دولة خلافة الاسلامیة
(e272df5c9abd7d4c03982bb506922428)
应用名称翻译大概如下,
我打开直接闪退= =,下为原文图
二、hewalekem(fd735cfab42437334d20309584663c57)
这是库尔德语,查了一圈貌似是你好的意思
三、anf新闻网站,该样本内嵌了一个webview界面,加载的是正常的
库尔德新闻网站,以此诱导用户点开。(还是没加载起来,原图)
(d0a155f29034dd913fdcf2b1631b2805)
四、vidogram(10c9ff8200b6f9233f36323609c47fc2),这个没啥好说的,就是简单的伪装。
样本特征:
这四个样本均具有通用的特征,如下所示
一、
四个样本的证书签名均为telecom2016@yahoo[.]com这个邮箱
二、
包名均存在拼写android错误,andriod/browser
三、
收集信息如下:
短信/彩信
通讯记录
联系人列表
浏览器历史记录和书签
外接存储设备(sdcard等)
app应用清单
剪贴板内容
地理位置和相机照片
收集录音
上面的数据通过http post请求将数据回传
四、
上面提到的以isis为主题的app与其他三个不同,
像文件上传会以c&c/upload-file.php?uuid=uuid 的方式进行上传
c&c地址
剩下三个会通过base64加异或的方式解出
五、
被盗数据均采用~~~的格式进行日志记录,日志文件名为
uuid_logdate_logtime.log 其中uuid为受害者设备的uuid号。
下列为获取的受害者的数据信息,通过下列格式存入日志中。
上述各类收集完数据后,日志会采用aes加密,密钥为uuid,当接收到服务器命令后,会将文件发出去。
服务器的命令也与该日志格式类似,像get~~~file这种
ioc信息
邮箱信息:
telecom2016@yahoo[.]com
ip域名信息:
162[.]248[.]247[.]172
190[.]2[.]144[.]140
190[.]2[.]145[.]145
89[.]38[.]98[.]49
firmwaresystemupdate[.]com
stevenwentz[.]com
ronaldlubbers[.]site
georgethompson[.]space
样本中一些名词
razamoradi
daeshsh
相关链接:
https://research.checkpoint/domestic-kitten-an-iranian-surveillance-operation/
再犹豫价格又涨了
本文标签: domestic
九游会下载的版权声明:本文标题:一个来自伊朗官方的监视行动:domestic kitten,样本特征明显 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/xitong/1727371204a1111188.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论