趨勢科技隨時都在監控網路資安威脅情勢的發展,透過這樣的過程,我們就能進一步了解歹徒幕後的運作。這次我們深入追查了某個不知名的駭客集團與 Confucius、 Patchwork 及 Bahamut 等集團之間的可能關聯,看看他們之間有何相似之處。我們暫時將這個不知名的集團稱為「Urpage」。
Urpage 之所以引起我們注意,在於它攻擊的目標為一個烏爾都語與阿拉伯語專用的文書處理程式,叫做「InPage」。此外,歹徒也使用了一個 Delphi 後門元件 (這一點和 Confucius 及 Patchwork 相似),並且使用了一個和 Bahamut 類似的惡意程式,正是這樣才會讓人覺得 Urpage 與上述幾個知名駭客團體有所關聯。在我們之前的一篇文章當中,我們已探討過 Confucius 和 Patchwork 之間共通的 Delphi 元件。也稍微提到 Urpage 和兩者之間有所關聯。這一次我們將深入研究 Urpage 與這幾個團體有何共通之處。
與 Bahamut 的關聯性
假冒網站
Bahamut 與 Urpage 之間的關聯,最明顯的就是後者有多個 Android 應用程式樣本的程式碼與 Bahamut 的程式相同,但卻連接至 Urpage 的幕後操縱 (C&C) 網站。而且某些 C&C 網站同時也是網路釣魚網站,專門引誘使用者下載這些應用程式。歹徒建立這些假冒網站來介紹這些應用程式並提供連結讓使用者至 Google Play 商店下載,例如「pikrpro.eu」這個惡意網站就是一例,見下圖:
還有另一個網站也是模仿得跟原本的網站很像,只有在標誌和頁面上方的選項稍有不同。當然,假冒網站當中的連結都已經換成指向惡意 Android 應用程式的網址。
