APT-C-23（双尾蝎）持续对中东地区发起攻击

APT-C-23

双尾蝎

APT-C-23（双尾蝎）又被称为Arid Viper 、Micropsia、Frozen Cell、Desert Falcon，攻击范围主要为中东地区相关国家的教育机构、军事机构等重要领域，网络攻击行动以窃取敏感信息为主，具备针对Windows与Android双平台的攻击能力。

自2023年4月被曝使用新工具集攻击巴勒斯坦地区以来，我们陆续监测到2023年上半年APT-C-23（双尾蝎）投放Micropsia和Arid Gopher木马攻击以色列、巴勒斯坦等地区。

一、攻击活动分析Micropsia

Micropsia是一个由Delphi编写的恶意程序，Micropsia通常在程序内打包有可执行文件，早期的Micropsia后门可在其资源段中发现至少3个可执行文件：

1、用于加密通行的OpenSSL组件；

2、命令执行版WinRAR用于将窃取的文件进行压缩；

3、Shortcut用于生成LNK文件进行持久化。

Micropsia发展至今依旧保持这个习惯，各版本Micropsia程序中或多或少能在其资源段中发现以上文件数据，由于APT-C-23（双尾蝎）还习惯将可执行程序伪装成文档进行投递诱使受害用户运行，所以通常也能在Micropsia木马资源数据中发现打包的诱饵文档文件。

该Micropsia木马的主要功能为：

1、键盘监控输出到本地文件后进行回传；

2、屏幕截图回传；

3、对目标机器进行指定后缀文件搜寻并进行压缩打包上传。

此次捕获到的样本中攻击者分别以伪装成文档的可执行程序和伪装成系统相关的工具进行Micropsia木马投递。

伪装成文档文件的可执行程序中释放的文档文件均使用阿拉伯语编写，主要针对使用阿拉伯语种人群。

MD5

文件名

d4bc2ee72882ec6f0701b67b41cb0868

Protecting computers and information security in government departments pdf.exe

b8d97f967bdb2e9f71d6af738af81626

Strategic Management 10102022 Strategic Management docx.exe

63dca80229022f1cba49aea45f05e544

The effects of using loofah on the skin and face.docx.exe

其中以巴勒斯坦政府公文进行投递的示例。

值得注意的是另外两个伪装成DOC文档的样本由一位西班牙用户进行上传，且DOC文档中的语言识别为沙特阿拉伯语，西班牙的官方语言有西班牙语加泰罗尼亚语等，与阿拉伯语关联甚少,因此无法对该用户性质进行判断，无法确定APT-C-23（双尾蝎）是否将目光扩散至西班牙地区人群。

释放的文档中残留有创建用户信息。

木马运行后会使用WMI进行查询计算机安装的杀毒软件情况，与以往一样会通过Shortcut软件在“Startup”目录中生成Micropsia木马的快捷方式用于持久化。

Micropsia木马可选择众多文件类型进行搜寻并窃取。

*.rar

*.doc

*.qfg

*.txt

*.OGG

*.vcf

*.docx

*.vrlog

*.xlsx

*.M4P

*.xls

*.csv

*.wav

*.mdb

*.M4V

*.txt

*.pdf

*.dot

*.mp4

*.AVI

*.avi

*.ppt

*.JPG

*.AVCHD

*.WMV

*.wmv

*.pptx

*.JPEG

*.MPEG

*.MOV

*.mkv

*.odt

*.PNG

*.MPE

*.QT

*.m4a

*.mdb

*.tiff

*.WEBM

*.FLV

*.amr

*.accdb

*.gif

*.MPG

*.SWF

*.odt

*.accde

*.rtf

*.MP2

收集了对应后缀的文件后Micropsia木马会使用RAR程序进行数据打包上传。

Rar.exe a -r -ep1 -df -v2500k -hp668e9af10eba83047379ec403d6becc2_d01247a1eaf1c24ffbc851e883e67f9b "C:\ProgramData\Software Distributions\DataSnap\sysHistory_07-02-2023-00-13-13" "C:\ProgramData\Software Distributions\DataSnap\*.qfg

Arid Gopher

Arid Gopher是一个以Golang编写的恶意木马程序， APT-C-23（双尾蝎）曾使用该恶意软件（Arid Viper）针对以色列目标，此前也曾与哈马斯组织有过联系。

根据配置文件信息来看其迭代速度很快，Arid Gopher与Micropsia相似的是习惯将压缩工具打包进程序内。Arid Gopher木马运行后会根据配置信息在受害者计算机上创建目录将打包的程序和对应文件落地。

同样使用WMI收集计算机的杀毒软件安装情况。

运行过程中获取用户机器计算机名、系统版本以及Arid Gopher版本号等信息进行上传到配置数据中指定的C&C服务器对应目录上。

测试得知C&C响应正常软件会进行http/https协议更换尝试。

并选择从不同C&C服务器目录地址中请求后续载荷。

于Arid Gopher木马中内嵌的配置数据。

对比以往捕获的Arid Gopher木马配置信息。

二、归属研判

此处捕获的样本与此前披露的样本差别不大，捕获的木马程序其字符沿用、内嵌资源、以及恶意行为都符合APT-C-23（双尾蝎）组织的Micropsia以及Arid Gopher木马的特征，多个方面共性使我们有理由怀疑此次的样本是APT-C-23活动的证据。

附录 IOC

Micropsia

40054bb769af8fe618ed0b4f2836d060

4ebb0fa36819c6ad36cdd36c0b661559

37fc7db07f32b6191d6201252f60f64c

146c187d13f4c898693073beef3dae5f

d5a6fd19b136ae6ba3495d77a0b7ae81

054ac123f749886a2da45c2c60fa786c

509f78da474e20c6cdcde2ab5ee32b4c

d4bc2ee72882ec6f0701b67b41cb0868

6c2e077fbd55a3ea7f843507ac00e686

ebd1cf78fbb8531533426cb19f78d58e

b8d97f967bdb2e9f71d6af738af81626

3d0631c3f3ea42cc1b18ab370a329ce3

1b82cb79cae7801fc9a421369f4b8137

6dceed1647bd865ad94c047d51cd2d6c

63dca80229022f1cba49aea45f05e544

5ce307b736668833c312c2777e74dc45

4574174809567240729a67cc941eabcf

Arid Gopher

5d8cd50066f06f36ed4269b3112d5a11

9b959e61f2aa6fa7ff338f7cddcee23f

6eef7d94285e506ad9e38d3e4f8b8ef3

1d83896525aed2727d341e6341868871

5.182.39.44

84.246.85.127

acs-group.net

gsstar.net

cheaphomeinsurancequotes.net

pctools-limited.com

tara-stokes.com

chloe-boreman.com

criston-cole.com

doctorinforme.com

tophatauc.com

upload999.net

sadie-dunhill.com

archers-lie.net

gmesc.com

upload101.net

360高级威胁研究院

360高级威胁研究院是360数字安全集团的核心能力支持部门，由360资深安全专家组成，专注于高级威胁的发现、防御、处置和研究，曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击，独家披露多个国家级APT组织的高级行动，赢得业内外的广泛认可，为360保障国家网络安全提供有力支撑。

01

● APT盘点 | 深耕“看见”世界性难题，筑牢国家数字安全屏障

02

● 担心“敌已在我”怎么办？360安全大脑-APT解决方案来支招

03

● 360揭披美国CIA全球网络攻击行为 获多方关注认可

04

● 360首推以 “看见”APT为核心的重保方案