针对叙利亚进行攻击的APT组织---黄金鼠最新活动分析

最新推荐文章于 2023-05-16 19:34:53 发布
最新推荐文章于 2023-05-16 19:34:53 发布
阅读量284 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blackorbird/article/details/102462218
版权

       关注一下,你最棒!? ???

——————————————————————————

        黄金鼠(APT-C-27),从2014年11月起至今,该组织对叙利亚地区展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台从开始的Windows平台逐渐扩展至Android平台,杀伤力较大。

        

        经过监测,我发现该组织出现了一个与以前所使用 “ chatsecurelite.us.to ” 相比极其相似的新的域名 “ chatsecurelite.uk.to  ”,除了域名相似以外,还有一个目录特征也尤为一致。

最新的目录如下:

http://chatsecurelite.uk.to/wp-content/uploads/app/y/

http://chatsecurelite.uk.to/wp-content/uploads/2018/android/t/

http://chatsecurelite.uk.to/wp-content/uploads/2018/android/apks/store/

以往该组织的目录特征,可以发现具有一定的相似性。

640?wx_fmt=png

从主站的界面也可以看出几乎一致

640?wx_fmt=png

此前该组织的首页

640?wx_fmt=png

下图为近期较全的样本列表

640?wx_fmt=png

640?wx_fmt=png

其中有一个阿拉伯语书写的样本名实际为更新offcie for mobie

640?wx_fmt=png

从样本方面,启动后均会要求激活设备管理器,若设备是root用户,启动后基本会请求Root权限。这也是一些android木马通用的手段。

640?wx_fmt=png

点击激活设备管理器后,APP会退出,并过一会后,图标会被隐藏。

对其中几个样本进行分析后(还没看完),发现大体框架一致,且与此前该组织Android木马的代码具有一定的相似性。

Audio开头的是录音相关

Camera是拍照

CLL是通话记录

File开头是文件操作类

GPS开头是位置监控

Packageinformation是获取用户已安装的包

SMS是获取短信

Net开头的为网络行为

Packet和protocol是解析控制指令

640?wx_fmt=png

明天将抓几个包,看看通讯特征方面是否有发生变化。

链接还未失效,懒得一个一个算md5了,自个下吧

————————————————————————————

今日推荐阅读:

APT28 罗马假日行动

http://csecybsec.com/download/zlab/20180713_CSE_APT28_X-Agent_Op-Roman%20Holiday-Report_v6_1.pdf

————————————————————————————

下面为我的知识星球,如果需要实时接收情报的可以入球,若看到该文章样本下载链接已经失效可以进入星球下载。

640?wx_fmt=png

blackorbird
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
用k-means对亚洲足球队做聚类
元气满满晨
02-23 5057
背景知识 亚足联AFC: 1954年成立,总部马来西亚吉隆坡。 负责管理亚洲区足球事务,举办各项国家级及俱乐部级赛事,协助国际足联举行世界杯预选赛及4年一度的亚洲杯。 47个成员协会,包括阿富汗、缅甸、中国台北、中国香港、印度尼西亚、日本、韩国、巴基斯坦、菲律宾、新加坡、越南等。 分为两大势力——东亚及西亚,东亚包括有日本、韩国、中国、澳大利亚(来自大洋洲的澳大利亚于2006年加入亚足联),西亚有...
“不结盟”的在线微名人和叙利亚网络公共领域:碎片化和媒体A同步-研究论文
05-19
在阿拉伯起义期间,新旧媒体之间的“同步”(Alexander和Aouragh,2014年)使反霸权叙事的出现在某些情况下能够为正在进行的动员达成广泛共识。 但是,Web 2.0在公共领域动态方面的局限性以及组织集体行动的空间也...
近期针对土耳其和叙利亚的Promethium活动分析+ 链接ioc情报等
blackorbird的博客
10-24 302
祝同行1024节,身体健康,远离疾病,少加班,多运动。1、近期针对土耳其和叙利亚的Promethium活动分析恶意软件名:Promethium别名:StrongPity时...
python数据分析之机器学习K-Means聚类算法学习笔记!
刘口水的博客
05-13 667
K-Means是一种聚类算法,无参照物,没有训练数据。 该算法的原理:有一群杂乱无章的点,分布混乱,现在规定把这些点分成K类,首先找到这K类的中心店,然后选择一个距离(欧氏距离、曼哈顿距离、切比雪夫距离等),计算各点到各中心点之间的距离,离哪个中心店近就划分到该中心店所属的类中。 重复上述操作,直到类不发生变化,或者你也可以设置最大迭代次数,这样即使类中心点发生变化,但是只要达到最大迭代次数就...
小学-综合素质【5】
robin9409的博客
03-09 1114
1.预防未成年人犯罪,应在各级人民政府组织领导下,实行()。 A.分层管理 B.综合治理 C.分级治理 D.集中整治 2.未成年人的父母或者其他监护人对未成年人的法制教育负有()责任。 A.直接 B.主要 C.次要 D.间接 3.学校及其他教育机构对教学辅助人员和其他专业技术人员实行()制度。 A.教育职员 B.教育职员聘任 C.专业技术职务聘任 D.教师聘任 4.根据《义务教育法》的规定,下列说法不正确的是()。 A.我国实行九年义务教育制度 B.适龄儿童和少年免试入学 C.学校应该把素质教
python数据分析案例简单实战项目(二)--疫情数据分析
热门推荐
a1105425455的博客
06-26 3万+
项目背景 2020 年 1 月新型冠状病毒(以下简称新冠)肺炎在极短时间内就在全球范围内大规模流行,据美国约翰斯·霍普金斯大学 11 月 8 日发布的新冠疫情最新统计数据显示,截至美国东部时间 11 月 8 日 11 时 24 分全球累计确诊人数超过 5000 万,死亡人数超过125 万。由于新冠病毒的传播速度快、致死率较高,世界卫生组织称新冠是百年一遇的人类公敌。自新冠肺炎爆发以来,面对社会对疫情信息的迫切需求,各级政府部门通过多种渠道及时发布第一手相关数据,许多组织和个人也迅速行动,利用多种分析手段为
Shape-E:文字到3D的生成模型试用
百年孤独百年的博客
05-16 1219
该模型可以是一个生成3D的工具,你可以输入文字,然后得到一个3D模型,或者提供一个图片生成3D模型。通过该模型,我们可以模糊的查看文字到3D的生成,图片到3D的生成,不过这个只是一个大概的模型,有个别的参数大家可以调,我演示的是默认的版本。大家可以去玩一玩。
ISO语言代码(ISO-639) 附SQL语句
孤独的梦1012
08-23 1002
ISO语言代码(ISO-639) 附SQL语句 语言代码 国家/ 地区 语言代码 国家/ 地区 af 公用荷兰语 is 冰岛语 af-ZA 公用荷兰语 - 南非 is-IS 冰岛的 -冰岛 sq 阿尔巴尼亚 id 印尼 sq-AL 阿尔巴尼亚 -阿尔巴尼亚 id-ID 印尼 -印尼 ar 阿拉伯语 it 意大利 ar-DZ 阿拉伯语 -阿尔及利亚 it-IT 意...
ISO-3166国家代码一览表
Mr.薛的博客
06-18 2万+
ISO-3166国家代码一览表 二位字母 三位 字母 数字 ISO 3166-2相应代码 国家或地区(ISO 英文用名) 中国 惯用名 台湾 惯用名 香港 惯用名 备注 AD AND 020 ISO 3166-2:AD Andorra 安道尔 安道尔 安道尔 AE ARE 784 ISO 3166-2:AE United Arab Emirates 阿联酋...
【毕业设计】大数据疫情数据分析及可视化系统 - python
caxiou的博客
11-08 4932
🔥 Hi,大家好,这里是丹成学长的毕设系列文章!🔥 对毕设有任何疑问都可以问学长哦!这两年开始,各个学校对毕设的要求越来越高,难度也越来越大… 毕业设计耗费时间,耗费精力,甚至有些题目即使是专业的老师或者硕士生也需要很长时间,所以一旦发现问题,一定要提前准备,避免到后面措手不及,草草了事。为了大家能够顺利以及最少的精力通过毕设,学长分享优质毕业设计项目,今天要分享的新项目是🚩基于大数据的疫情数据分析及可视化系统🥇学长这里给一个题目综合评分(每项满分5分)难度系数:4分工作量:4分。
syria-latest-free.shp.zip
05-15
标题中的"syria-latest-free.shp.zip"表明这是一个与叙利亚相关的地理信息系统(GIS)数据压缩包,且数据是最新并且免费的。".shp"是ESRI Shapefile的扩展名,这是一种常见的地理空间数据格式,用于存储地理实体的...
--IS-莫斯科的叙利亚战争(英文)-2020.5-116页精品报告2020.pdf
04-24
--IS-莫斯科的叙利亚战争(英文)-2020.5-116页精品报告2020.pdf
realm-core:Realm移动数据库SDK的核心数据库组件
01-30
古巴,伊朗,朝鲜,苏丹,叙利亚或克里米亚地区的任何人,或根据美国法律不符合接收该产品资格的任何其他人,均不得使用该产品。 另请参阅第三方实体库和与第三方库相关的许可证。 反馈 对Realm SDK的反馈应该在本...
基于Springboot和Vue的图书借还管理系统源码 图书借还管理系统代码(高分毕设)
07-28
图书借还管理系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug!
C语言内存管理:静态与动态分配的较量
07-28
C语言是一种通用的编程语言,由丹尼斯·里奇(Dennis Ritchie)在20世纪70年代早期于美国电话电报公司(AT&T)的贝尔实验室开发。C语言以其高效性、灵活性和可移植性而闻名,它是一种过程式编程语言,提供了对底层硬件的直接访问能力。 C语言的特点包括: 1. **简洁高效**:C语言的语法简洁,执行效率高,适合编写系统软件。 2. **接近硬件**:C语言提供了对内存地址和位操作的直接控制,使其非常适合硬件级编程。 3. **可移植性**:C语言编写的程序可以在不同的操作系统和硬件平台上编译和运行,具有很好的可移植性。 4. **丰富的库支持**:C语言拥有大量的标准库,如标准输入输出库(stdio.h)、数学库(math.h)等。 5. **结构化编程**:C语言支持结构化编程,允许使用循环、条件判断和函数等控制结构。 6. **指针**:C语言的指针功能强大,可以操作内存地址,实现复杂的数据结构和算法。 7. **编译型语言**:C语言是一种编译型语言,源代码需要通过编译器转换成机器码才能运行。 C语言广泛应用于操作系统(如Unix和Linux)、嵌入式系统、高性能
通讯协议规范-命令包格式
07-28
提供一份通讯协议规范,包含命令包、格式等,在上下位机调试的时候可参考该文档,制定对应的通讯协议。
四足宠物机器狗动态步行规划与仿真.pdf
最新发布
07-28
四足宠物机器狗动态步行规划与仿真
揭秘叙利亚电子军的移动工具: Surveillanceware 分析
叙利亚电子军(Syrian Electronic Army,SEA)是叙利亚政府支持的黑客组织,成立于2011年,旨在对抗叙利亚内战期间的反对派势力。SEA以其高级的黑客技术和复杂的恶意软件而闻名。 **SilverHawk** SilverHawk是SEA...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值