孔夫子(Confucius)駭客集團,假談網路戀愛,真竊個資

網路交友詐騙圖的不是為了騙財騙色,這次是竊個資!不安裝指定的網路聊天軟體,立刻永久停止對話!

 

愛情騙局在網路上並不稀奇,網路交友詐騙(catfisher)以及西非網路犯罪分子都利用受害者的感情來詐騙金錢。但奇怪的是很少看到(也可能是很少被報出來)這手法被用在網路間諜活動。

 

 

趨勢科技在研究Patchwork網路間諜活動時偶然發現了Confucius(孔夫子)駭客集團,並且注意到有數個相似之處。比方說,他們的客製化惡意軟體內有相似的程式碼。Confucius駭客集團針對南亞各國的一些特定目標,如軍人和商人等。

Patchwork和Confucius是同一個組織嗎?後門程式的命令確實彼此類似。設定檔也具有相似的結構,而且這兩個組織使用的基礎設施也有所重疊。但我們認定它們為不同的組織,可能屬於同個社群,但有不同的目標和操作手法。Patchwork比較直截了當,主要是進行惡意軟體攻擊,而Confucius的手法則更加細膩,重度地依賴社交工程。

聊天軟體帶有後門程式,默默蒐集簡訊等個資

在探索Confucius的基礎設施時,趨勢科技看到提供Windows和Android版本聊天軟體的網站,很可能是其前身Simple Chat Point的改版:Secret Chat Point和Tweety Chat。

儘管這聊天軟體確實具備聊天功能(雖然通訊並非匿名,如同所宣傳的那樣),但它們還帶有後門程式和檔案竊取能力,只要送入關鍵字就會觸發:收集所有的簡訊、聯絡人和帳號。Tweety Chat的Android版本也可以錄音。其最新版本可以讓設備靜音(關閉響鈴和振動),並且同步通話記錄和簡訊。

我們進一步測試了Tweety Chat,可以看出他們所感興趣的目標:驗證電子郵件的通訊地址郵遞區號屬於首都時,在登錄時也會出現在Tweety Chat的一個聊天頻道。

圖1:Tweety Chat介面(上)及顯示它所竊取檔案類型的程式碼(下)

 

網路間諜:不安裝 Tweety Chat聊天軟體,竟無預警分手!

使用者列表、聊天室名稱和應用程式內容都儲存在遠端服務器內而無需任何身份認證。聊天記錄可以看出集團駭客用來說服受害者在Android設備上安裝網路間諜程式的社交工程手法。第一個使用者和聊天室建立於2017年8月27日,可能是駭客在進行測試。接下來的使用者和聊天室建立在10月31日和12月12日。

其中有一對hayat22love引起了我們的興趣。hayat22自稱是一名女學生,跟一個暱稱為love的目標人物在談網路戀愛,這目標人物說自己住在南亞,從事服裝製造和批發。

在他們的通訊過程中,love建議用WhatsApp進行通訊。但hayat22拒絕,稱她覺得使用Tweety Chat更安全。love拒絕了,但是當hayat22不滿並且在網路上對love冷回應後,love試圖安裝Tweety Chat – 但失敗了。他聲稱無法安裝這個應用程式。hayat22很快就失去興趣並完全停止回應。她還寄給他一張截圖來顯示Tweety Chat長什麼樣子。

我們不確定love在聊天室做了什麼或他是如何遇見hayat22的。他可能是使用Windows版或網頁版的Secret Chat Point,這就解釋了為什麼hayat22會要他安裝Android版的Tweety Chat。

在之前的一個聊天群組中,名為Heena的集團駭客推薦會員在行動設備上安裝Secret Chat Point來取得額外點數或隱身能力。在另一個名為「Maira’s room」的聊天室中,一個目標人物透露自己是一名政府官員,從該國首都附近的一個北方城市返回。在幾天後,集團駭客停止在聊天室中回應,而且她的使用者帳號也從伺服器中刪除。

圖2:ByeBye Shell的介面秀出Confucius攻擊活動

圖3:顯示主持人在一個群組中推薦使用者安裝Tweety Chat的聊天截圖

圖4:在社群媒體上推廣Tweety Chat的截圖

 

部分竊取程式特別針對USB設備上的檔案

Confucius駭客活動包括部署特製後門,並用量身打造的檔案竊取程式從受害者系統竊取檔案,其中有部分跟Patchwork的相似。然後竊得的檔案利用雲端儲存服務取回。部分的檔案竊取程式特別針對了USB設備上的檔案,可能是為了實體隔離的環境。

與Patchwork相比,其木馬化文件至少利用了5個安全漏洞,而Confucius的後門透過Office檔案攻擊了記憶體損毀漏洞CVE-2015-1641CVE-2017-11882來進行散播。值得注意的是他們的惡意軟體與Patchwork的相似。攻擊2017年12月披露的安全漏洞及他們最近的活動顯示出Confucius一直緊咬著他們的目標。

受害者的資料被上傳到Confucius雲端儲存帳號,幾千個檔案被刪除

Confucius使用了多種後門:sctrls,ByeBye Shell,remote-access-c3和sip_telephone等等。它的一個檔案竊取程式swissknife2會利用雲端儲存服務作為取回檔案的儲藏庫。在研究進行時,約有60名受害者的資料被上傳到Confucius擁有的雲端儲存帳號。帳號中還有幾千個檔案在後來被刪除。

趨勢科技的研究 – 「解密Confucius:檢視該集團的網路間諜活動」深入研究了這集團的運作情況,社交工程手法跟它所使用的惡意軟體,還有企業可以採取來解決這威脅的對策。附錄中提供了入侵指標(IOC)列表以及趨勢科技相對應的偵測和解決方案。

 

@原文出處:Deciphering Confucius’ Cyberespionage Operations 作者:趨勢科技網路安全解決方案團隊(Daniel Lunghi和Jaromir Horejsi)