على مر السنين، لاحظنا أن APT36 تفضل استخدام استضافة و DNS الخدمات التي تقدمها Contabo، وهو مزود استضافة VPS كبير. منذ ما يقرب من عام، أصدرت S1 أبلغ عن عند محاولة APT36 التسليم كابرا رات إلى ضحاياهم. من المعروف أن CapraRat نسخة معدلة من AndroRat مفتوح المصدر.

بالإضافة إلى مستخدمي Android، كان لدى APT36 جرذ قرمزي في ترسانتها لفترة طويلة، لاستهداف مستخدمي Windows. باستخدام هذه المعلومات، أجرينا استعلام Censys لمعرفة أي بنية أساسية لـ CrimsonRAT باستخدام خدمات الاستضافة/DNS الخاصة بـ Contabo.

للتحقق مما إذا كان هذا ينتمي إلى APT36، قمنا بفحص virustotal بحثًا عن أي تداخلات مع Transparent Tribe TTPs.

‍

تم وضع علامة على عنوان IP الأول الخاص بنا باعتباره Crimson RAT C2 على Virustotal. من المهم ملاحظة أن ASN (40021) غالبًا ما كان يستخدم بواسطة APT36 في الماضي لإجراء عمليات البرامج الضارة.

الانتقال إلى IP الثاني:

‍

هذا لديه اكتشافات أقل نسبيًا في البرية.

‍

عند التحقق من ملفات الاتصال، لاحظنا وجود عدد قليل من ملفات APK الضارة التي تتواصل مع IP. أكدت Virustotal بسرعة أن هذه كانت حمولات CapraRat.

تم العثور على 2 من أصل 3 ملفات APK ضارة لنظام Android تحمل اسم الحزمة «com.moves.media.tubes»

‍

تم ذكر اسم الحزمة نفسه في حملات Transparent Tribe من عام 2023. مصدر

تم العثور على العينة الثالثة (md5:f73f1a694d2a5c7e6d04fbc866a916bd) لانتحال شخصية تطبيق VoIP والرسائل الفورية الشهير المعروف باسم فايبر.

‍

الأذونات عالية المخاطر:

• Android.permission.process_المكالمات الصادرة - التحكم بالمكالمات/إعادة التوجيه
• أندرويد. الإذن. التسجيل الصوتي - التسجيل الصوتي
• أندرويد.permission.read_SMS - قراءة الرسائل النصية
• Android.permission.receive_SMS - اعتراض الرسائل القصيرة الواردة
• أندرويد. برميشن. كاميرا - الوصول إلى الكاميرا
• Android.permission.read_جهات الاتصال - الوصول إلى بيانات الاتصال
• أندرويد.permission.read_call_log - الوصول إلى سجل المكالمات

تتبع الموقع:

• أندرويد. الإذن. access_fine_location - موقع GPS الدقيق
• أندرويد.الإذن. access_coarse_الموقع_التقريبي - الموقع التقريبي

الوصول إلى الجهاز:

• android.permission.read_phone_state - معلومات حالة الهاتف/الجهاز
• Android.permission.authenticate_الحسابات_- إدارة الحساب
• أندرويد.permission.write_external_STORAGE - الوصول للكتابة في التخزين
• أندرويد.permission.الإنترنت - الوصول إلى الشبكة

‍

نموذج الماس

‍

طريقة التوصيل

تستخدم APT36، المعروفة أيضًا باسم Transparent Tribe، أساليب الهندسة الاجتماعية لتوزيع أحصنة طروادة التي تعمل بنظام Android Remote Access (RATs). تم تصميم هذه الطعوم لتتماشى مع موضوع تمويه RAT.

‍

‍

‍التأثير

• المراقبة المستهدفة: يتعرض الضحايا الذين يقومون بتثبيت تطبيق Viber APK المزيف لقدرات تجسس واسعة النطاق، بما في ذلك الوصول إلى الميكروفون وتتبع الموقع واعتراض الرسائل.
• مخاطر سرقة بيانات الاعتماد: يمكن للبرامج الضارة جمع بيانات المستخدم الحساسة، بما في ذلك بيانات اعتماد تسجيل الدخول والرسائل الشخصية وقوائم جهات الاتصال.
• إساءة استخدام البنية التحتية: يتيح الاستخدام المستمر لموفري VPS العاديين مثل Contabo للمهاجمين إنشاء بنية تحتية ضارة جديدة بسرعة، مما يعقد جهود الإزالة.
• تآكل ثقة العلامة التجارية: يؤدي انتحال شخصية التطبيقات الموثوقة مثل Viber إلى تقويض ثقة المستخدم في منصات الاتصال الشرعية.

‍

عوامل التخفيف

• التحقق من مصدر التطبيق: شجع المستخدمين على تثبيت التطبيقات فقط من مصادر موثوقة مثل متجر Google Play وتجنب تنزيل ملفات APK من مواقع ويب غير معروفة.
• اكتشاف تهديدات الأجهزة المحمولة: نشر حلول الدفاع ضد تهديدات الأجهزة المحمولة (MTD) التي يمكنها اكتشاف سلوكيات برامج التجسس، بما في ذلك استخدام الأذونات غير المعتاد أو أنماط الاتصال بالشبكة.
• حملات توعية المستخدم: تعريف المستخدمين بتهديدات انتحال الهوية، خاصة حول تطبيقات المراسلة، وكيفية التعرف على مطالبات التثبيت المشبوهة أو سلوك التطبيق.

المراجع

• *مصدر الذكاء وموثوقية المعلومات - ويكيبيديا

^#بروتوكول إشارات المرور - ويكيبيديا

‍