APT-C-56（透明部落）使用RlmRat家族最新攻击活动

APT-C-56

  透明部落

APT-C-56（透明部落）是南亚一个具有政府背景的高级持续性威胁组织，其长期针对周边国家和地区的军队和政府机构实施定向攻击，目的是收集各类情报。

近期，360烽火实验室持续监控到透明部落组织在Android平台的RlmRat家族新样本。通过对这些样本进行分析，我们发现最近的样本相比此前的同家族样本有了明显的变化，属于RlmRat家族的精简版。这些样本使用了相似的结构设计，以窃取设备各类文件为主，受影响地区主要为印度。

 一、受影响情况  

在本次攻击活动中，我们监测到的攻击最早开始于2023年3月，并且一直持续到8月份。受影响地区主要为印度，同时发现尼泊尔地区也有少量受害用户。

 二、攻击活动分析 

1.载荷投递分析  

通过受害者设备上落地的攻击样本路径可以知道，攻击者通过使用WhatsApp等社交软件直接传输APK安装包给受害者。

文件路径

/storage/emulated/0/whatsapp/media/whatsapp

+documents/private/exam+update+2022-2023+.apk

2.攻击样本分析   

近期监控到的样本主要伪装成“Aadhaar”、“训练照片”、“学生简介”等程序，均属于RlmRat家族。相关的远控指令未发生任何变化，但是对其恶意功能进行了大量削减，仅仅保留了窃取设备文件的功能，属于是RlmRat的精简版本。

图1 恶意应用列表

样本使用了极少的权限，主要是访问网络和读写设备外置存储的权限。这些权限对于绝大多数应用来说是必不可少的，因此极难引起用户注意。

图2 样本使用的权限

样本启动后除了显示正常的页面外，会在后台开启服务，与C&C服务器进行通信，接收服务器远控指令，对应的功能主要涉及对设备文件的窃取。

图3 样本运行截图    

相关指令和功能如下：

指令

功能

Qp&8!2

读取新指令

y#0T5$

获取设备指定目录

f%R7!2

监听设备目录

Nw39Jf

获取设备指定文件

8$R%j1

获取设备指定音频文件

bx$@81

获取设备所有文档文件目录

u4Q&0#

获取设备所有图片文件目录

5w$I!7

获取设备非应用的文档文件目录

1^R$4t

获取设备WhatsApp的图片文件目录

9$g1E@

获取设备非WhatsApp的图片文件目录

C&C地址使用了字节数组进行存储：

图4 C&C地址

过滤文档类型文件：

图5 过滤文件的Smali代码

 三、归属研判  

Android平台的RlmRat家族自去年发现以来一直被透明部落组织使用，因此该家族属于透明部落组织在移动端的特有攻击武器。本次攻击活动中，攻击者使用了精简版的RlmRat家族样本，对印度和尼泊尔用户进行攻击。

另外，精简版RlmRat样本使用的C&C和去年完整版样本的C&C存在重叠，因此，可以明确判定这是透明部落组织在今年发起的针对移动端用户的又一起持续性定向攻击活动。

总结

与以往攻击活动使用的武器不同的是，本次攻击活动使用了极其精简化的攻击武器，在免杀效果上得到了明显提升。并且从其窃取的信息类型来看，本次攻击主要以文件信息窃取为主。可见透明部落组织对攻击武器的使用上变得更加灵活多变，针对性和隐蔽性也更加强大，未来对该组织的攻击监控可能也会变得更加困难。

附录 IOC

b029303ffe6eff7c4e5cb84efe8fed09

9c007ed4ea6c270f47d079fff794029d

a59c4a4fcd471c621c0a4fead61e2380

167.86.98.190:4628

38.242.249.238:4628

360****烽火实验室

360烽火实验室致力于移动恶意软件分析、移动灰黑产研究、移动威胁预警、移动APT的发现与追踪等移动安全领域的深入研究。作为全球顶级移动安全生态研究实验室，360烽火实验室在全球范围内不仅首发了多篇具备国际影响力的移动安全生态研究成果，并且成功狩猎了蔓灵花、拍拍熊等多个APT组织针对我国及境外重要目标的攻击活动。实验室在为360手机卫士、360手机助手、360加固保等公司产品提供核心安全数据的同时，也为科研单位、手机厂商、应用商店及上百家国内外合作伙伴提供了移动应用安全检测服务，全方位守护移动安全