ESET研究:Bahamut APT集团针对Android用户的恶意活动
ESET研究人员发现,Bahamut APT集团正在针对Android用户进行活跃攻击,该活动自2022年1月以来一直在进行。恶意应用程序通过一个伪造的SecureVPN网站进行分发,该网站仅提供供下载的Android应用程序。需要注意的是,尽管在此活动中使用的恶意软件名为SecureVPN,但它与合法的多平台SecureVPN软件和服务没有任何关联。
关键点
- 恶意应用程序的来源:该应用程序曾多次是两个合法VPN应用程序(SoftVPN或OpenVPN)的木马版本,这些应用程序被重新打包为Bahamut间谍软件代码。
- 恶意版本的数量:我们能够识别至少八个版本的这些恶意修补应用程序,代码更改和更新通过分发网站发布,这可能意味着该活动得到了良好的维护。
- 数据提取目的:应用程序的主要修改目的是提取敏感用户数据,并积极监视受害者的消息应用程序。
- 目标选择:我们认为目标是经过仔细选择的,因为一旦Bahamut间谍软件启动,它会请求激活密钥,才能启用VPN和间谍功能。激活密钥和网站链接可能会发送给特定用户。
- 初始分发途径未知:我们尚不清楚初始分发途径(如电子邮件、社交媒体、消息应用程序、短信等)。
Bahamut概述
Bahamut APT集团通常通过钓鱼邮件和假应用程序作为初始攻击向量,针对中东和南亚的实体和个人。Bahamut专注于网络间谍活动,我们相信其目标是窃取受害者的敏感信息。Bahamut还被称为一个为各种客户提供雇佣黑客服务的雇佣军组织。Bellingcat调查新闻小组将这个威胁行为者命名为Bahamut,源于《虚构生物书》中提到的漂浮在广阔阿拉伯海中的巨大鱼类。
分发方式
我们分析的初始伪造SecureVPN应用程序于2022年3月17日上传到VirusTotal,来自一个地理位置在新加坡的IP地址,并伴随有触发我们YARA规则的假网站链接。
该恶意Android应用程序通过网站thesecurevpn[.]com分发,该网站使用了合法SecureVPN服务的名称,但没有任何内容或样式。这个伪造的SecureVPN网站是基于一个免费的网页模板创建的,威胁行为者可能只需进行小幅更改即可使其看起来可信。
代码归属分析
伪造SecureVPN样本中的恶意代码在Cyble和CoreSec360记录的SecureChat活动中曾被观察到。我们发现这段代码仅在Bahamut进行的活动中被使用;与这些活动的相似之处包括在上传到C&C服务器之前将敏感信息存储在本地数据库中。
版本分析
自分发网站上线以来,至少有八个版本的Bahamut间谍软件可供下载。这些版本由威胁行为者创建,伪造应用程序名称后面跟随版本号。我们从服务器提取了以下版本,认为后缀数字最低的版本曾在过去提供给潜在受害者,而最近使用的是更高的版本号(如secureVPN_104.apk,SecureVPN_105.apk等)。
这些版本分为两个分支,因为Bahamut的恶意代码被植入两个不同的合法VPN应用程序中。第一个分支是将恶意代码插入合法的SoftVPN应用程序,第二个分支是将恶意代码插入开源应用程序OpenVPN。
结论
Bahamut APT集团的活动展示了网络攻击者如何利用伪造应用程序来实施间谍活动和数据窃取。用户在下载VPN应用程序时应保持警惕,确保从官方渠道获取应用程序,以防止落入恶意软件的陷阱。
