أجواء القبيلة الشفافة: APT36 تعود مع CapraRat الذي ينتحل شخصية فايبر
يكشف تحقيق CloudSek الأخير كيف تستخدم APT36 (المعروفة أيضًا باسم Transparent Tribe) مزود VPS Contabo لاستضافة البنية التحتية الضارة المرتبطة بـ CapraRat و Crimson RAT. واحدة من أحدث تكتيكاتهم؟ إخفاء برامج التجسس باسم تطبيق المراسلة الشهير Viber - المزود بأذونات لتسجيل المكالمات وقراءة الرسائل وتتبع الموقع والمزيد. اقرأ كيف تتبعنا البنية التحتية، وحددنا المؤشرات الرئيسية للتسوية، وكشفنا المدى الكامل لحملة مراقبة Android هذه.
على مر السنين، لاحظنا أن APT36 تفضل استخدام استضافة و DNS الخدمات التي تقدمها Contabo، وهو مزود استضافة VPS كبير. منذ ما يقرب من عام، أصدرت S1 أبلغ عن عند محاولة APT36 التسليم كابرا رات إلى ضحاياهم. من المعروف أن CapraRat نسخة معدلة من AndroRat مفتوح المصدر.
بالإضافة إلى مستخدمي Android، كان لدى APT36 جرذ قرمزي في ترسانتها لفترة طويلة، لاستهداف مستخدمي Windows. باستخدام هذه المعلومات، أجرينا استعلام Censys لمعرفة أي بنية أساسية لـ CrimsonRAT باستخدام خدمات الاستضافة/DNS الخاصة بـ Contabo.
للتحقق مما إذا كان هذا ينتمي إلى APT36، قمنا بفحص virustotal بحثًا عن أي تداخلات مع Transparent Tribe TTPs.
تم وضع علامة على عنوان IP الأول الخاص بنا باعتباره Crimson RAT C2 على Virustotal. من المهم ملاحظة أن ASN (40021) غالبًا ما كان يستخدم بواسطة APT36 في الماضي لإجراء عمليات البرامج الضارة.
الانتقال إلى IP الثاني:
هذا لديه اكتشافات أقل نسبيًا في البرية.
عند التحقق من ملفات الاتصال، لاحظنا وجود عدد قليل من ملفات APK الضارة التي تتواصل مع IP. أكدت Virustotal بسرعة أن هذه كانت حمولات CapraRat.
تم العثور على 2 من أصل 3 ملفات APK ضارة لنظام Android تحمل اسم الحزمة «com.moves.media.tubes»
تم ذكر اسم الحزمة نفسه في حملات Transparent Tribe من عام 2023. مصدر
تم العثور على العينة الثالثة (md5:f73f1a694d2a5c7e6d04fbc866a916bd) لانتحال شخصية تطبيق VoIP والرسائل الفورية الشهير المعروف باسم فايبر.
الأذونات عالية المخاطر:
Android.permission.process_المكالمات الصادرة - التحكم بالمكالمات/إعادة التوجيه
أندرويد. الإذن. التسجيل الصوتي - التسجيل الصوتي
أندرويد.permission.read_SMS - قراءة الرسائل النصية
Android.permission.read_جهات الاتصال - الوصول إلى بيانات الاتصال
أندرويد.permission.read_call_log - الوصول إلى سجل المكالمات
تتبع الموقع:
أندرويد. الإذن. access_fine_location - موقع GPS الدقيق
أندرويد.الإذن. access_coarse_الموقع_التقريبي - الموقع التقريبي
الوصول إلى الجهاز:
android.permission.read_phone_state - معلومات حالة الهاتف/الجهاز
Android.permission.authenticate_الحسابات_- إدارة الحساب
أندرويد.permission.write_external_STORAGE - الوصول للكتابة في التخزين
أندرويد.permission.الإنترنت - الوصول إلى الشبكة
نموذج الماس
طريقة التوصيل
تستخدم APT36، المعروفة أيضًا باسم Transparent Tribe، أساليب الهندسة الاجتماعية لتوزيع أحصنة طروادة التي تعمل بنظام Android Remote Access (RATs). تم تصميم هذه الطعوم لتتماشى مع موضوع تمويه RAT.
Indicators of Compromise - CloudSEK
Indicators of Compromise (IOCs)
Indicator
Type
Value
Package Name
APK File Hash
MD5
91f5009c786618bbbd798ee777b061e3
com.moves.media.tubes
APK File Hash
MD5
34546a79de045b7ee4c0c8d4cbeb6778
com.moves.media.tubes
APK File Hash
MD5
f73f1a694d2a5c7e6d04fbc866a916bd
com.viber.updates.links
IP Address
Command and Control
161.97.180[.]199
N.A.
التأثير
المراقبة المستهدفة: يتعرض الضحايا الذين يقومون بتثبيت تطبيق Viber APK المزيف لقدرات تجسس واسعة النطاق، بما في ذلك الوصول إلى الميكروفون وتتبع الموقع واعتراض الرسائل.
مخاطر سرقة بيانات الاعتماد: يمكن للبرامج الضارة جمع بيانات المستخدم الحساسة، بما في ذلك بيانات اعتماد تسجيل الدخول والرسائل الشخصية وقوائم جهات الاتصال.
إساءة استخدام البنية التحتية: يتيح الاستخدام المستمر لموفري VPS العاديين مثل Contabo للمهاجمين إنشاء بنية تحتية ضارة جديدة بسرعة، مما يعقد جهود الإزالة.
تآكل ثقة العلامة التجارية: يؤدي انتحال شخصية التطبيقات الموثوقة مثل Viber إلى تقويض ثقة المستخدم في منصات الاتصال الشرعية.
عوامل التخفيف
التحقق من مصدر التطبيق: شجع المستخدمين على تثبيت التطبيقات فقط من مصادر موثوقة مثل متجر Google Play وتجنب تنزيل ملفات APK من مواقع ويب غير معروفة.
اكتشاف تهديدات الأجهزة المحمولة: نشر حلول الدفاع ضد تهديدات الأجهزة المحمولة (MTD) التي يمكنها اكتشاف سلوكيات برامج التجسس، بما في ذلك استخدام الأذونات غير المعتاد أو أنماط الاتصال بالشبكة.
حملات توعية المستخدم: تعريف المستخدمين بتهديدات انتحال الهوية، خاصة حول تطبيقات المراسلة، وكيفية التعرف على مطالبات التثبيت المشبوهة أو سلوك التطبيق.
أجواء القبيلة الشفافة: APT36 تعود مع CapraRat الذي ينتحل شخصية فايبر
يكشف تحقيق CloudSek الأخير كيف تستخدم APT36 (المعروفة أيضًا باسم Transparent Tribe) مزود VPS Contabo لاستضافة البنية التحتية الضارة المرتبطة بـ CapraRat و Crimson RAT. واحدة من أحدث تكتيكاتهم؟ إخفاء برامج التجسس باسم تطبيق المراسلة الشهير Viber - المزود بأذونات لتسجيل المكالمات وقراءة الرسائل وتتبع الموقع والمزيد. اقرأ كيف تتبعنا البنية التحتية، وحددنا المؤشرات الرئيسية للتسوية، وكشفنا المدى الكامل لحملة مراقبة Android هذه.
Get the latest industry news, threats and resources.
على مر السنين، لاحظنا أن APT36 تفضل استخدام استضافة و DNS الخدمات التي تقدمها Contabo، وهو مزود استضافة VPS كبير. منذ ما يقرب من عام، أصدرت S1 أبلغ عن عند محاولة APT36 التسليم كابرا رات إلى ضحاياهم. من المعروف أن CapraRat نسخة معدلة من AndroRat مفتوح المصدر.
بالإضافة إلى مستخدمي Android، كان لدى APT36 جرذ قرمزي في ترسانتها لفترة طويلة، لاستهداف مستخدمي Windows. باستخدام هذه المعلومات، أجرينا استعلام Censys لمعرفة أي بنية أساسية لـ CrimsonRAT باستخدام خدمات الاستضافة/DNS الخاصة بـ Contabo.
للتحقق مما إذا كان هذا ينتمي إلى APT36، قمنا بفحص virustotal بحثًا عن أي تداخلات مع Transparent Tribe TTPs.
تم وضع علامة على عنوان IP الأول الخاص بنا باعتباره Crimson RAT C2 على Virustotal. من المهم ملاحظة أن ASN (40021) غالبًا ما كان يستخدم بواسطة APT36 في الماضي لإجراء عمليات البرامج الضارة.
الانتقال إلى IP الثاني:
هذا لديه اكتشافات أقل نسبيًا في البرية.
عند التحقق من ملفات الاتصال، لاحظنا وجود عدد قليل من ملفات APK الضارة التي تتواصل مع IP. أكدت Virustotal بسرعة أن هذه كانت حمولات CapraRat.
تم العثور على 2 من أصل 3 ملفات APK ضارة لنظام Android تحمل اسم الحزمة «com.moves.media.tubes»
تم ذكر اسم الحزمة نفسه في حملات Transparent Tribe من عام 2023. مصدر
تم العثور على العينة الثالثة (md5:f73f1a694d2a5c7e6d04fbc866a916bd) لانتحال شخصية تطبيق VoIP والرسائل الفورية الشهير المعروف باسم فايبر.
الأذونات عالية المخاطر:
Android.permission.process_المكالمات الصادرة - التحكم بالمكالمات/إعادة التوجيه
أندرويد. الإذن. التسجيل الصوتي - التسجيل الصوتي
أندرويد.permission.read_SMS - قراءة الرسائل النصية
Android.permission.read_جهات الاتصال - الوصول إلى بيانات الاتصال
أندرويد.permission.read_call_log - الوصول إلى سجل المكالمات
تتبع الموقع:
أندرويد. الإذن. access_fine_location - موقع GPS الدقيق
أندرويد.الإذن. access_coarse_الموقع_التقريبي - الموقع التقريبي
الوصول إلى الجهاز:
android.permission.read_phone_state - معلومات حالة الهاتف/الجهاز
Android.permission.authenticate_الحسابات_- إدارة الحساب
أندرويد.permission.write_external_STORAGE - الوصول للكتابة في التخزين
أندرويد.permission.الإنترنت - الوصول إلى الشبكة
نموذج الماس
طريقة التوصيل
تستخدم APT36، المعروفة أيضًا باسم Transparent Tribe، أساليب الهندسة الاجتماعية لتوزيع أحصنة طروادة التي تعمل بنظام Android Remote Access (RATs). تم تصميم هذه الطعوم لتتماشى مع موضوع تمويه RAT.
Indicators of Compromise - CloudSEK
Indicators of Compromise (IOCs)
Indicator
Type
Value
Package Name
APK File Hash
MD5
91f5009c786618bbbd798ee777b061e3
com.moves.media.tubes
APK File Hash
MD5
34546a79de045b7ee4c0c8d4cbeb6778
com.moves.media.tubes
APK File Hash
MD5
f73f1a694d2a5c7e6d04fbc866a916bd
com.viber.updates.links
IP Address
Command and Control
161.97.180[.]199
N.A.
التأثير
المراقبة المستهدفة: يتعرض الضحايا الذين يقومون بتثبيت تطبيق Viber APK المزيف لقدرات تجسس واسعة النطاق، بما في ذلك الوصول إلى الميكروفون وتتبع الموقع واعتراض الرسائل.
مخاطر سرقة بيانات الاعتماد: يمكن للبرامج الضارة جمع بيانات المستخدم الحساسة، بما في ذلك بيانات اعتماد تسجيل الدخول والرسائل الشخصية وقوائم جهات الاتصال.
إساءة استخدام البنية التحتية: يتيح الاستخدام المستمر لموفري VPS العاديين مثل Contabo للمهاجمين إنشاء بنية تحتية ضارة جديدة بسرعة، مما يعقد جهود الإزالة.
تآكل ثقة العلامة التجارية: يؤدي انتحال شخصية التطبيقات الموثوقة مثل Viber إلى تقويض ثقة المستخدم في منصات الاتصال الشرعية.
عوامل التخفيف
التحقق من مصدر التطبيق: شجع المستخدمين على تثبيت التطبيقات فقط من مصادر موثوقة مثل متجر Google Play وتجنب تنزيل ملفات APK من مواقع ويب غير معروفة.
اكتشاف تهديدات الأجهزة المحمولة: نشر حلول الدفاع ضد تهديدات الأجهزة المحمولة (MTD) التي يمكنها اكتشاف سلوكيات برامج التجسس، بما في ذلك استخدام الأذونات غير المعتاد أو أنماط الاتصال بالشبكة.
حملات توعية المستخدم: تعريف المستخدمين بتهديدات انتحال الهوية، خاصة حول تطبيقات المراسلة، وكيفية التعرف على مطالبات التثبيت المشبوهة أو سلوك التطبيق.