中國國家級駭客組織APT 15利用BadBazaar和MOONSHINE 間諜軟體,協助中國政府加大監控新疆維吾爾族

PhotoCredit: Lookout

來自資安公司Lookout 的研究員揭露,發現了兩個針對維吾爾族的長期監控活動,活動背後的駭客使用兩個 Android 間諜軟體來監視受害者並竊取敏感資料。這些活動涉及一種名為 BadBazaar 的新惡意軟體,以及Citizen Lab 於 2019 年發現並用於攻擊西藏活動人士 的MOONSHINE 監控軟體的新變種。

根據Lookout的報告,針對BadBazaar 的活動調查始於 2021 年底,並基於資安團隊MalwareHunterTeam的研究,揭露駭客的間諜活動以偽裝成維吾爾字典App來監控用戶,研究人員將這些活動歸因於與中國政府支持的駭客組織APT15 (又名 Nickel、  Ke3chang、  Mirage、  Vixen Panda、 皇家 APT 和頑皮龍)有關。APT15 至少從 2010 年開始就一直活躍,它針對全球多個行業的目標開展了網路間諜活動,包括國防、高科技、能源、政府、航空航天和製造業。多年來,攻擊者的複雜程度越來越高,他們在攻擊中使用了自訂義惡意軟體和各種漏洞。BadBazaar 活動可追溯自 2018 年底,在此期間,研究人員獲取了 111 個Android的app,並發現都被植入這BadBazzar間諜軟體,這些app偽裝成無害的應用程式,種類涵蓋廣播應用程式、即時通、字典、提醒穆斯林禱告時間,甚至 TikTok等。

值得一提的是, Lookout研究員在 Apple App Store上發現了一個名為“Uyghur Lughat”的字典應用程式,該應用程式與Android應用程式使用的伺服器進行通信,以收集基本的iPhone資訊,此iOS 應用程式仍然可以從在 App Store 下載。研究人員指出,由於BadBazaar變體通常通過從其C2伺服器下載更新來獲取其監視功能,因此駭客可能之後更新具有類似監視功能的 iOS 樣本。

PhotoCredit:Lookout

BadBazaar 安裝後具有多項功能,可以收集通話記錄、GPS 位置、SMS 消息和感興趣的文件;記錄電話;拍照;並洩露大量設備元資料。Lookout表示對BadBazaar 基礎設施的進一步分析顯示,與 2020 年 7 月曝光的另一項針對少數民族的間諜軟體操作存在重疊,該操作使用了名為DoubleAgent的 Android 工具集。

另外,自 2022 年 7 月以來,使用 MOONSHINE 的攻擊已經使用了 50 多個惡意應用程式,這些應用程式旨在從受感染的設備中收集個人數據,包含用於通話和麥克風錄音、聯繫人數據收集、設備定位、攝像頭控制以及從後端 wcdb 數據庫檔案收集微信數據的 C2 命令。這些樣本中的大多數是流行社交媒體平台的木馬化版本,如 WhatsApp 或 Telegram,或穆斯林文化應用程式、維吾爾語工具或祈禱應用程式的木馬化版本,Moonshine毫無疑問是一種精心打造且功能齊全的監控工具。

PhotoCredit: Lookout

專家表示他們的MOONSHINE樣本是從多個維吾爾語交流群組獲得的,其中一些擁有數百名成員, Lookout 的報告表明,中國APT駭客組織繼續通過維吾爾語社交平台瞄準維吾爾和穆斯林行動設備用戶,儘管國際壓力越來越大,但代表中國政府開展活動的中國網路犯罪分子繼續針對該國的維吾爾族和穆斯林社區發起監視活動。用戶需要警惕通過社交媒體分發的任何應用程式,並避免從第三方應用程式商店下載app。

Moonshine的部分入侵指標(Indicator of compromise -IOCs):

8afe90ebb4666565891fcc33e12fad410996d4d1

ac235440a738938c2218e2608ea229dd3584701b

437f5e0aa400372a6e98de7aca32f6cf916040a0

16125c5ecd29bb1d359fdbbfc127341cafbae6bf

79fb6f43885df2a058a7aa9d60c88db6b44226dd

BadBazaar 的部分入侵指標(Indicator of compromise -IOCs):

64914dd41c052905c561a328654b63f4dc8c5d69

35a5e99e34d9f333a333f55b99b4b3b8ac75a7f6

4e4830857ed294d301494f0a39fc5a4571db879f

7adaa19388e9e2319b0281a15a15f7e80b21c8d7

0db9e300f43d7a500ae53ac76e0b8be50b0d74cc

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”