根據(jù)卡巴斯基實驗室4月3日發(fā)布的報告，今年3月以來，全球范圍內(nèi)大量用戶遭遇惡意軟件的攻擊，造成大量信息被盜。而在進行深入研究之后，專家認為這是去年3月興起的Roaming Mantis（漫步螳螂）攻擊活動的延續(xù)。

2018年3月首次在日本發(fā)現(xiàn)Roaming Mantis的攻擊案例，當(dāng)時攻擊者通過感染路由器將用戶重定向到受感染的虛假網(wǎng)站?？ò退够鶎嶒炇业恼{(diào)查顯示，該攻擊活動針對的是南亞用戶，大多數(shù)受影響的用戶來自孟加拉國、日本和韓國。查看惡意網(wǎng)頁的HTML源代碼，其似乎支持四種語言環(huán)境：英語、韓語、簡體中文和日語。

考慮到該攻擊活動利用的網(wǎng)站含有簡體中文，且其他語言國家已經(jīng)有過攻擊案例，因此中國有一定可能成為攻擊者的下一個目標，需要嚴加防范，提前做好防御措施。


最新攻擊

2019年2月25日至3月20日期間，卡巴斯基的研究人員在950多個獨立用戶的設(shè)備系統(tǒng)中檢測到了超過6800次與Roaming Mantis相關(guān)的惡意軟件。

最新的一波攻擊浪潮中，攻擊者旨在通過短信（SMiShing）傳播網(wǎng)絡(luò)釣魚鏈接。與去年的攻擊相比，此次攻擊范圍更大。受害者大多來自俄羅斯、日本、印度、孟加拉國、哈薩克斯坦、阿塞拜疆、伊朗和越南。
卡巴斯基表示，“我們認為此次攻擊波的規(guī)模要大得多，這些數(shù)字僅僅只反映了其中一小部分。”


攻擊方式

最新Roaming Mantis活動采用了一種利用惡意移動配置的新網(wǎng)絡(luò)釣魚方法，與此同時，攻擊者也沒有放棄此前被研究人員觀察到的DNS劫持技術(shù)。

與之前的攻擊相比，這次攻擊活動的主要變化在于使用新的登陸頁面，提示iOS設(shè)備的用戶安裝惡意iOS移動配置。


安裝配置后，網(wǎng)絡(luò)釣魚站點將在Web瀏覽器中自動啟動，收集設(shè)備中的信息并將其發(fā)送給攻擊者。此信息包括DEVICE_PRODUCT、DEVICE_VERSION、UDID、ICCID、IMEI和MEID。

CA中包含疑似開發(fā)人員的電子郵件地址“zeeyf79797@yahoo.co[.]jp”，這可能是惡意的。研究人員為此研究創(chuàng)建了一個測試帳戶，并在釣魚網(wǎng)站上使用了此帳戶憑據(jù)。一旦威脅行為者收集到身份證和密碼，犯罪分子就會嘗試從香港登陸該賬戶。輸入憑據(jù)后，研究人員被引導(dǎo)到下一頁，該頁試圖竊取發(fā)送到設(shè)備的雙因素身份驗證代碼（PIN）。


在Android方面，卡巴斯基的遙測數(shù)據(jù)顯示了新一波惡意APK文件，將其檢測為“Trojan-Dropper.AndroidOS.Wroba.g”。


研究人員分析了此惡意APK文件，并確認它絕對是sagawa.apk Type A惡意軟件的變種。除了iOS用戶，Android用戶同樣也是攻擊目標，攻擊者使用對其使用的惡意軟件是XLoader（由Trend Micro跟蹤）和MoqHao（由McAfee跟蹤）。作為攻擊活動的一部分，攻擊者還對大量路由器進行了妥協(xié)攻擊，以便覆蓋DNS設(shè)置。

惡意DNS轉(zhuǎn)換器的URL查詢用于改寫路由器的DNS設(shè)置，但僅限于以下條件：沒有從本地網(wǎng)對路由器的控制面板進行身份驗證；設(shè)備具有路由器面板的管理會話；并且路由器使用簡單的用戶名和密碼（或默認值），例如admin。

卡巴斯基表示，數(shù)百臺路由器遭到攻擊者入侵，所有這些路由器都指向了流氓DNS IP地址。“這一波攻擊的特定在于攻擊者采用惡意移動配置進行網(wǎng)絡(luò)釣魚，盡管此前觀察到的DNS劫持攻擊也仍被攻擊者積極使用。這一特定令人非常擔(dān)憂，可能會為用戶安全帶來嚴重的威脅，”卡巴斯基總結(jié)道。


從存儲位置和帳戶獲得真正的C2服務(wù)器

在去年的活動中，在@outlook.com上的三個帳戶haoxingfu11、haoxingfu22、haoxingfu33被存儲在樣本中，以便檢索C2服務(wù)器地址。在新一波攻擊中，威脅行為者已經(jīng)改變了他們從電子郵件服務(wù)中檢索C2地址的策略，轉(zhuǎn)而從Twitter獲取它。


三個可疑的Twitter帳戶也很容易找到，因為樣本的帳戶ID存儲在一起，用“|”字符分隔，就像舊樣本一樣。


除了前面提到的三個帳戶，我們還發(fā)現(xiàn)了其他幾個帳戶：

    lucky88755
    lucky98745
    lucky876543
    gyugyu87418490
    luckyone1232
    sadwqewqeqw


卡巴斯基還注意到威脅行為者引入了一個新的后門命令“getPhoneState”。下表顯示了該惡意軟件的舊版本和較新版本的差異：

妥協(xié)指標（IoCs）

除了卡巴斯基之外，趨勢科技研究人員也于4月初發(fā)現(xiàn)了一種新的XLoader變體, 這款新的Xloader變體針對Android設(shè)備偽裝成安全應(yīng)用程序，同時對Apple設(shè)備使用惡意iOS配置文件來影響iPhone和iPad。這版變種的幕后攻擊者采用幾個釣魚網(wǎng)站作為他們的主機，特別是復(fù)制了日本移動電話運營商的網(wǎng)站，誘騙用戶下載假的安全Android應(yīng)用程序包。此釣魚網(wǎng)站主要通過短信傳播。在Apple設(shè)備的情況下，訪問同一惡意網(wǎng)站會將其用戶重定向到另一個釣魚網(wǎng)站如hxxp://apple-icloud.qwq-japan.com，提示用戶安裝惡意iOS配置文件以解決阻止網(wǎng)站加載的網(wǎng)絡(luò)問題。 如果用戶安裝了配置文件，惡意網(wǎng)站將打開，并跳轉(zhuǎn)到Apple的網(wǎng)絡(luò)釣魚站點。這個最新版本已被標記XLoader版本6.0，并且這個版本還添加了一個名為“getPhoneState”的后門命令，該命令收集移動設(shè)備的唯一標識符，例如IMSI、ICCID、Android ID和設(shè)備序列號等。

此前2018年3月的那次攻擊，卡巴斯基研究人員推測其幕后攻擊人員可能來自亞洲國家（韓國），目的是尋求經(jīng)濟利益。而此次新Roaming Mantis攻擊的威脅行為者則尚無定論。

總結(jié)

鑒于Roaming Mantis活動自去年掀起攻擊浪潮后，最近又再度興起。且最初的大多數(shù)受害者位于南亞國家，其幕后攻擊者所用的釣魚網(wǎng)站支持簡體中文，因此中國很有可能成為其接下來的攻擊目標。相對此前的攻擊，攻擊者在策略和工具上都做了一定的升級。無論是Android用戶、iOS用戶還是桌面用戶，都需謹防路由器DNS劫持攻擊、惡意網(wǎng)頁釣魚攻擊。

為免受此類惡意軟件的攻擊，建議用戶確保自己的路由器運行的是最新版本的固件而且設(shè)置了強密碼。從官方渠道下載應(yīng)用程序，且不要隨意點擊來路不明的鏈接。對于設(shè)備中的關(guān)鍵信息采取適當(dāng)?shù)谋４妗⑻幚矸绞?，以免被盜，進而造成更大的損失。

以上內(nèi)容由四川無國界(mqptxio.cn) 整理編輯——專業(yè)從事網(wǎng)絡(luò)信息安全培訓(xùn)與IT風(fēng)險管理咨詢服務(wù)。