根據(jù)卡巴斯基實(shí)驗(yàn)室4月3日發(fā)布的報(bào)告，今年3月以來(lái)，全球范圍內(nèi)大量用戶(hù)遭遇惡意軟件的攻擊，造成大量信息被盜。而在進(jìn)行深入研究之后，專(zhuān)家認(rèn)為這是去年3月興起的Roaming Mantis（漫步螳螂）攻擊活動(dòng)的延續(xù)。

2018年3月首次在日本發(fā)現(xiàn)Roaming Mantis的攻擊案例，當(dāng)時(shí)攻擊者通過(guò)感染路由器將用戶(hù)重定向到受感染的虛假網(wǎng)站?？ò退够鶎?shí)驗(yàn)室的調(diào)查顯示，該攻擊活動(dòng)針對(duì)的是南亞用戶(hù)，大多數(shù)受影響的用戶(hù)來(lái)自孟加拉國(guó)、日本和韓國(guó)。查看惡意網(wǎng)頁(yè)的HTML源代碼，其似乎支持四種語(yǔ)言環(huán)境：英語(yǔ)、韓語(yǔ)、簡(jiǎn)體中文和日語(yǔ)。

考慮到該攻擊活動(dòng)利用的網(wǎng)站含有簡(jiǎn)體中文，且其他語(yǔ)言國(guó)家已經(jīng)有過(guò)攻擊案例，因此中國(guó)有一定可能成為攻擊者的下一個(gè)目標(biāo)，需要嚴(yán)加防范，提前做好防御措施。


最新攻擊

2019年2月25日至3月20日期間，卡巴斯基的研究人員在950多個(gè)獨(dú)立用戶(hù)的設(shè)備系統(tǒng)中檢測(cè)到了超過(guò)6800次與Roaming Mantis相關(guān)的惡意軟件。

最新的一波攻擊浪潮中，攻擊者旨在通過(guò)短信（SMiShing）傳播網(wǎng)絡(luò)釣魚(yú)鏈接。與去年的攻擊相比，此次攻擊范圍更大。受害者大多來(lái)自俄羅斯、日本、印度、孟加拉國(guó)、哈薩克斯坦、阿塞拜疆、伊朗和越南。
卡巴斯基表示，“我們認(rèn)為此次攻擊波的規(guī)模要大得多，這些數(shù)字僅僅只反映了其中一小部分。”


攻擊方式

最新Roaming Mantis活動(dòng)采用了一種利用惡意移動(dòng)配置的新網(wǎng)絡(luò)釣魚(yú)方法，與此同時(shí)，攻擊者也沒(méi)有放棄此前被研究人員觀察到的DNS劫持技術(shù)。

與之前的攻擊相比，這次攻擊活動(dòng)的主要變化在于使用新的登陸頁(yè)面，提示iOS設(shè)備的用戶(hù)安裝惡意iOS移動(dòng)配置。


安裝配置后，網(wǎng)絡(luò)釣魚(yú)站點(diǎn)將在Web瀏覽器中自動(dòng)啟動(dòng)，收集設(shè)備中的信息并將其發(fā)送給攻擊者。此信息包括DEVICE_PRODUCT、DEVICE_VERSION、UDID、ICCID、IMEI和MEID。

CA中包含疑似開(kāi)發(fā)人員的電子郵件地址“zeeyf79797@yahoo.co[.]jp”，這可能是惡意的。研究人員為此研究創(chuàng)建了一個(gè)測(cè)試帳戶(hù)，并在釣魚(yú)網(wǎng)站上使用了此帳戶(hù)憑據(jù)。一旦威脅行為者收集到身份證和密碼，犯罪分子就會(huì)嘗試從香港登陸該賬戶(hù)。輸入憑據(jù)后，研究人員被引導(dǎo)到下一頁(yè)，該頁(yè)試圖竊取發(fā)送到設(shè)備的雙因素身份驗(yàn)證代碼（PIN）。


在Android方面，卡巴斯基的遙測(cè)數(shù)據(jù)顯示了新一波惡意APK文件，將其檢測(cè)為“Trojan-Dropper.AndroidOS.Wroba.g”。


研究人員分析了此惡意APK文件，并確認(rèn)它絕對(duì)是sagawa.apk Type A惡意軟件的變種。除了iOS用戶(hù)，Android用戶(hù)同樣也是攻擊目標(biāo)，攻擊者使用對(duì)其使用的惡意軟件是XLoader（由Trend Micro跟蹤）和MoqHao（由McAfee跟蹤）。作為攻擊活動(dòng)的一部分，攻擊者還對(duì)大量路由器進(jìn)行了妥協(xié)攻擊，以便覆蓋DNS設(shè)置。

惡意DNS轉(zhuǎn)換器的URL查詢(xún)用于改寫(xiě)路由器的DNS設(shè)置，但僅限于以下條件：沒(méi)有從本地網(wǎng)對(duì)路由器的控制面板進(jìn)行身份驗(yàn)證；設(shè)備具有路由器面板的管理會(huì)話(huà)；并且路由器使用簡(jiǎn)單的用戶(hù)名和密碼（或默認(rèn)值），例如admin。

卡巴斯基表示，數(shù)百臺(tái)路由器遭到攻擊者入侵，所有這些路由器都指向了流氓DNS IP地址。“這一波攻擊的特定在于攻擊者采用惡意移動(dòng)配置進(jìn)行網(wǎng)絡(luò)釣魚(yú)，盡管此前觀察到的DNS劫持攻擊也仍被攻擊者積極使用。這一特定令人非常擔(dān)憂(yōu)，可能會(huì)為用戶(hù)安全帶來(lái)嚴(yán)重的威脅，”卡巴斯基總結(jié)道。


從存儲(chǔ)位置和帳戶(hù)獲得真正的C2服務(wù)器

在去年的活動(dòng)中，在@outlook.com上的三個(gè)帳戶(hù)haoxingfu11、haoxingfu22、haoxingfu33被存儲(chǔ)在樣本中，以便檢索C2服務(wù)器地址。在新一波攻擊中，威脅行為者已經(jīng)改變了他們從電子郵件服務(wù)中檢索C2地址的策略，轉(zhuǎn)而從Twitter獲取它。


三個(gè)可疑的Twitter帳戶(hù)也很容易找到，因?yàn)闃颖镜膸?hù)ID存儲(chǔ)在一起，用“|”字符分隔，就像舊樣本一樣。


除了前面提到的三個(gè)帳戶(hù)，我們還發(fā)現(xiàn)了其他幾個(gè)帳戶(hù)：

    lucky88755
    lucky98745
    lucky876543
    gyugyu87418490
    luckyone1232
    sadwqewqeqw


卡巴斯基還注意到威脅行為者引入了一個(gè)新的后門(mén)命令“getPhoneState”。下表顯示了該惡意軟件的舊版本和較新版本的差異：

妥協(xié)指標(biāo)（IoCs）

除了卡巴斯基之外，趨勢(shì)科技研究人員也于4月初發(fā)現(xiàn)了一種新的XLoader變體, 這款新的Xloader變體針對(duì)Android設(shè)備偽裝成安全應(yīng)用程序，同時(shí)對(duì)Apple設(shè)備使用惡意iOS配置文件來(lái)影響iPhone和iPad。這版變種的幕后攻擊者采用幾個(gè)釣魚(yú)網(wǎng)站作為他們的主機(jī)，特別是復(fù)制了日本移動(dòng)電話(huà)運(yùn)營(yíng)商的網(wǎng)站，誘騙用戶(hù)下載假的安全Android應(yīng)用程序包。此釣魚(yú)網(wǎng)站主要通過(guò)短信傳播。在Apple設(shè)備的情況下，訪問(wèn)同一惡意網(wǎng)站會(huì)將其用戶(hù)重定向到另一個(gè)釣魚(yú)網(wǎng)站如hxxp://apple-icloud.qwq-japan.com，提示用戶(hù)安裝惡意iOS配置文件以解決阻止網(wǎng)站加載的網(wǎng)絡(luò)問(wèn)題。 如果用戶(hù)安裝了配置文件，惡意網(wǎng)站將打開(kāi)，并跳轉(zhuǎn)到Apple的網(wǎng)絡(luò)釣魚(yú)站點(diǎn)。這個(gè)最新版本已被標(biāo)記XLoader版本6.0，并且這個(gè)版本還添加了一個(gè)名為“getPhoneState”的后門(mén)命令，該命令收集移動(dòng)設(shè)備的唯一標(biāo)識(shí)符，例如IMSI、ICCID、Android ID和設(shè)備序列號(hào)等。

此前2018年3月的那次攻擊，卡巴斯基研究人員推測(cè)其幕后攻擊人員可能來(lái)自亞洲國(guó)家（韓國(guó)），目的是尋求經(jīng)濟(jì)利益。而此次新Roaming Mantis攻擊的威脅行為者則尚無(wú)定論。

總結(jié)

鑒于Roaming Mantis活動(dòng)自去年掀起攻擊浪潮后，最近又再度興起。且最初的大多數(shù)受害者位于南亞國(guó)家，其幕后攻擊者所用的釣魚(yú)網(wǎng)站支持簡(jiǎn)體中文，因此中國(guó)很有可能成為其接下來(lái)的攻擊目標(biāo)。相對(duì)此前的攻擊，攻擊者在策略和工具上都做了一定的升級(jí)。無(wú)論是Android用戶(hù)、iOS用戶(hù)還是桌面用戶(hù)，都需謹(jǐn)防路由器DNS劫持攻擊、惡意網(wǎng)頁(yè)釣魚(yú)攻擊。

為免受此類(lèi)惡意軟件的攻擊，建議用戶(hù)確保自己的路由器運(yùn)行的是最新版本的固件而且設(shè)置了強(qiáng)密碼。從官方渠道下載應(yīng)用程序，且不要隨意點(diǎn)擊來(lái)路不明的鏈接。對(duì)于設(shè)備中的關(guān)鍵信息采取適當(dāng)?shù)谋４?、處理方式，以免被盜，進(jìn)而造成更大的損失。

以上內(nèi)容由四川無(wú)國(guó)界(www.mqptxio.cn) 整理編輯——專(zhuān)業(yè)從事網(wǎng)絡(luò)信息安全培訓(xùn)與IT風(fēng)險(xiǎn)管理咨詢(xún)服務(wù)。