blackbird行动: 来自Group123针对韩国指定安卓用户的系列活动

在提到这系列活动前，需要提及一下背景知识。

「Kakao Talk」是一款来自韩国的由中国腾讯担任第二大股东的免费聊天软件，类似于QQ微信的聊天软件， 可供iPhone、Android、WP、黑莓 等智能手机之间通讯的应用程序。本应用程序以实际电话号码来管理好友，借助推送通知服务，可以跟亲友和同事间快速收发信息，图片，视频，以及语音对讲。类似国内QQ，即使好友不在线，好友也能接收你的kakao talk消息，就跟发短信一样。

而Group123在这系列活动中，便是利用了这款软件进行指定用户的钓鱼攻击，如下图所示，主要针对移动端用户。

blackbird行动的目标很明确，为脱北者或与脱北者有关的人。

该系列在当时被归因为 sun team的组织，现在两个组织归因为一个来源了。

而针对的用户手机平台如下。

blackbird活动为Group123通过入侵web或云端服务器，配合已经在GooglePlay上传的恶意安卓应用，通过聊天软件对指定用户发送下载APP的链接 (通过受害网站的站点寄存APK)。

其中此次行动中，恶意软件还利用了三星和LG设备中的漏洞来安装dropper，例如Samsung的CVE-2015-7888的漏洞。

C2使用Dropbox或Yandex进行数据传输，调用的API，隐蔽功夫十足。

随后可下载Cmd命令以及其他Dex恶意模块（custon.dex），其他功能中还使用了开源的通话录音工具CallRecorder （https://github.com/aykuttasil/CallRecorder）

除了上面的针对漏洞外，还涉及到脏牛提权漏洞。

https://github.com/timwr/CVE-2016-5195

使用手段也比较高端，通过chrome漏洞外加脏牛提权，涨姿势，虽然是老洞，但估计还是有用老手机一直没升级的吧吧吧？。

同样会将这些利用脚本和源代码置于SDCARD中，并同样通过dropbox的方式上传

IOC

SamsungApps:

948f1d50d1784908ece778614315a995

dropper:

剩下的不嫌眼睛累的可以手打

今日APT情报

Dear john活动，起名自APT28组织从2018年10月17日到2018年11月15日的九个恶意文档，这些文档作者或修订者的名称均为Joohn。

恶意文档采用的是远程模板加载的手法，远程模板的作者名称也相同，均为XXX，最后会运行Zebrocy或Cannon变种

相关链接：

https://researchcenter.paloaltonetworks.com/2018/12/dear-joohn-sofacy-groups-global-campaign/

疑似Lazarus组织的活动，sharpshooter里面所使用的Rising Sun和2015年lazarus组织所使用的Duuzer后门具有代码相似性 一系列恶意宏文档的作者名为Richard，这些文档均使用韩版word创建，内容为职位JD，通过Dropbox进行分发。 

恶意宏文档利用内嵌shellcode将Sharshooter下载器注入到word内存中，一旦成功，将下载Rising Sun后门，该后门与Lazarus具有相关性

相关链接，完整PDF见知识星球：

https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/operation-sharpshooter-targets-global-defense-critical-infrastructure/

Cobalt Group 使用Threadkit进行活动的分析报告

ThreadKit是2017年10月首次发现的Microsoft Office文档漏洞构建工具包

归因于可追溯到当年6月的活动。

相关链接，完整PDF见知识星球：

https://cyware.com/news/cobalt-gang-found-using-new-version-of-threadkit-exploit-kit-dubbed-cobint-e523901f/

新鲜情报均在知识星球，欢迎入驻，一顿饭钱省去你无数天的精力