DEV-0196 Malware IOCs

security IOC
Опубликовано

Аналитики Microsoft Threat Intelligence с высокой степенью уверенности считают, что группа угроз, отслеживаемая Microsoft как DEV-0196, связана с базирующимся в Израиле частным атакующим агентом (PSOA), известным как QuaDream. Сообщается, что QuaDream продает платформу под названием REIGN правительствам в правоохранительных целях. REIGN - это набор эксплойтов, вредоносных программ и инфраструктуры, предназначенных для утечки данных с мобильных устройств.

DEV-0196

Аналитики Microsoft Threat Intelligence с высокой степенью уверенности считают, что DEV-0196 использует эту модель, продавая правительствам услуги по эксплуатации и вредоносное ПО. Она не принимает непосредственного участия в нацеливании. Microsoft также с высокой степенью уверенности считает, что DEV-0196 связан с израильской частной компанией QuaDream. Согласно данным Управления корпораций Израиля, компания QuaDream под израильским названием קוודרים בע "מ была зарегистрирована в августе 2016 года. У компании нет веб-сайта, и о ней почти ничего не сообщается, за некоторыми заметными исключениями.

Компания QuaDream привлекла внимание международной общественности в докладе Reuters от 2022 года, в котором приводилась брошюра компании, описывающая платформу REIGN и список возможностей. В докладе также высказывалось предположение, что QuaDream использовала эксплойт для iOS с нулевым кликом, который использовал ту же уязвимость, что и эксплойт ForcedEntry от NSO Group. Более ранний отчет израильского новостного издания Haaretz, также ссылающегося на брошюру QuaDream, показал, что QuaDream не продавала REIGN напрямую клиентам, а делала это через кипрскую компанию. Haaretz также сообщила, что среди клиентов QuaDream было правительство Саудовской Аравии, а также правительство Ганы. Однако Haaretz не смогла подтвердить утверждения, опубликованные в ганской прессе (https://whatsupnewsghana.com/2020/11/06/israeli-tech-mercenaries-risk-sanctions-over-ghana-spying/) и повторенные в израильской прессе, что сотрудники QuaDream были в числе 14 израильских технических работников из разных компаний, которые в 2020 году отправились в Аккру, Гана, чтобы встретиться с действующей администрацией за три месяца до президентских выборов для реализации специального проекта, связанного с ними.

QuaDream была упомянута в отчете компании Meta за декабрь 2022 года, которая, как сообщается, удалила 250 аккаунтов, связанных с компанией. Согласно отчету, Meta проверила способность QuaDream использовать мобильные устройства на базе iOS и Android с целью "утечки различных типов данных, включая сообщения, изображения, видео- и аудиофайлы, а также геолокацию".

 

Аналитики Microsoft Threat Intelligence с высокой степенью уверенности считают, что вредоносная программа, которую мы называем KingsPawn, разработана DEV-0196 и поэтому тесно связана с QuaDream. Мы оцениваем со средней степенью уверенности, что мобильное вредоносное ПО, которое мы связываем с DEV-0196, является частью системы, публично обсуждаемой как REIGN.
Снятые образцы нацелены на устройства под управлением iOS, в частности iOS 14, но есть признаки того, что часть кода может быть использована и на устройствах под управлением Android. Поскольку образец вредоносного ПО нацелен на iOS 14, некоторые из использованных в нем техник могут перестать работать или быть актуальными на более новых версиях iOS. Однако, по нашей оценке, весьма вероятно, что DEV-0196 обновила свою вредоносную программу, нацелив ее на более новые версии, чтобы учесть это. Анализ вредоносной программы показал, что она состоит из нескольких компонентов. Разделы ниже посвящены двум из этих компонентов: агенту-монитору и основному агенту вредоносной программы.

Monitor agent

Monitor agent мониторинга представляет собой собственный файл Mach-O, написанный на языке Objective-C. Он отвечает за уменьшение криминалистического следа вредоносной программы, чтобы предотвратить обнаружение и затруднить расследование. Для этого он использует несколько методов, одним из которых является мониторинг различных каталогов, таких как /private/var/db/analyticsd/ и /private/var/mobile/Library/Logs/CrashReporter, на предмет наличия артефактов выполнения вредоносной программы или файлов, связанных с авариями. После обнаружения таких артефактов или файлов агент мониторинга удаляет их.

Monitor agent также отвечает за управление различными процессами и потоками, порожденными от имени вредоносного ПО, чтобы избежать артефактов, возникающих в результате неожиданных сбоев процессов. Агент использует функцию waitpid для отслеживания всех порожденных дочерних процессов, а идентификаторы дочерних процессов добавляются в список отслеживания. Агент мониторинга пытается безопасно завершить отслеживаемые дочерние процессы, вызывая функцию sigaction с параметром SIGSTOP. Если функция sigaction возвращается успешно, это означает, что дочерний процесс доступен, и для его уничтожения посылается команда SIGKILL. Это позволяет избежать отправки команды kill на несуществующий PID, который может оставить после себя сообщения об ошибках и артефакты.

Главный агент

Главный агент также является родным файлом Mach-O. Однако он написан на Go, очень переносимом языке, который, вероятно, был выбран потому, что он позволяет компилировать его на различных платформах, сокращая усилия по разработке.
Этот агент включает в себя возможности для:

  • получать информацию об устройстве (например, версию iOS и состояние батареи)
  • информацию о Wi-Fi (например, SSID и статус авиарежима)
  • Информация о сотовой связи (например, оператор, данные SIM-карты и номер телефона).
  • поиск и извлечение файлов
  • Использовать камеру устройства в фоновом режиме
  • Получение местоположения устройства
  • отслеживать телефонные звонки
  • Доступ к связке ключей iOS
  • Генерировать одноразовый пароль iCloud на основе времени (TOTP).

Некоторые из этих функций, например, скрытое использование камеры, достигаются за счет использования двух ключевых двоичных файлов, tccd и mediaserverd, описанных ZecOps. Название tccd означает Transparency, Consent, and Control (TCC) Daemon, и этот процесс управляет разрешениями доступа для различных периферийных устройств, таких как камера и микрофон. Обычно пользователи получают от процесса tccd всплывающее приглашение, предупреждающее их о том, что что-то запросило доступ к камере, микрофону или другому периферийному устройству, и пользователь должен либо разрешить, либо запретить его. В этом сценарии компрометации агент внедряется в двоичный файл tccd, что позволяет ему порождать новые процессы и потоки в процессе эксплуатации, а также обходить любые подсказки tccd на устройстве, что означает, что пользователь не будет знать о компрометации камеры. В сочетании с tccd агент также дает разрешение на работу в фоновом режиме через mediaserverd. Этот двоичный файл обрабатывает интерфейс, с которым взаимодействуют другие приложения при использовании камеры. Более подробную информацию об инъекции процессов iOS, tccd и других системных компонентах можно найти в книгах и блоге Джонатана Левина о внутреннем устройстве macOS и iOS.

Среди техник, использованных главным агентом, - обход PMAP, обход Apple Mobile File Integrity (AMFI) и выход из песочницы. PMAP - это один из механизмов, который работает вместе с Page Protection Layer (PPL) для предотвращения запуска неподписанного кода на устройствах iOS. AMFI - это механизм защиты, состоящий из нескольких компонентов, включая расширение ядра AppleFileMobileIntegrity.kext, а также пользовательский демон amfid. Песочница ограничивает доступ к системным ресурсам и пользовательским данным с помощью системы прав доступа. Хотя PMAP, PPL, AMFI и песочница были усилены в течение многих лет, продвинутые злоумышленники пытаются обойти эти механизмы защиты, чтобы запустить неподписанный код.

Агент также создает безопасный канал для обмена сообщениями XPC путем создания вложенного расширения приложения под названием fud.appex. Обмен сообщениями XPC позволяет агенту запрашивать различные системные двоичные файлы для получения конфиденциальной информации об устройстве, такой как данные о местоположении. Хотя на устройствах iOS существует законный двоичный файл под названием fud, который является частью программы обновления мобильных аксессуаров se

Indicators of Compromise

IPv4

  • 176.65.137.5
  • 176.65.137.6
  • 198.54.115.248

Domains

  • addictmetui.com
  • adeptary.com
  • agronomsdoc.com
  • allplaces.online
  • aniarchit.com
  • aqualizas.com
  • bcarental.com
  • beendos.com
  • bestteamlife.com
  • betterstime.com
  • bgnews-bg.com
  • bikersrental.com
  • biznomex.com
  • brushyourteeth.online
  • careerhub4u.com
  • careers4ad.com
  • choccoline.com
  • classiccolor.live
  • cleanitgo.info
  • climatestews.com
  • codinerom.com
  • codingstudies.com
  • comeandpet.me
  • countshops.com
  • ctbgameson.com
  • datacentertime.com
  • deliverystorz.com
  • designaroo.org
  • designspacing.org
  • digital-mar.com
  • dressuse.com
  • dsudro.com
  • earthyouwantiis.com
  • eccocredit.com
  • ecologitics.com
  • eedloversra.online
  • e-gaming.online
  • elektrozi.com
  • elvacream.com
  • enrollering.com
  • foodyplates.com
  • forestaaa.com
  • fosterunch.com
  • foundurycolletive.com
  • fullaniimal.com
  • fullmoongreyparty.org
  • fullstorelife.com
  • furiamoc.com
  • gameboysess.com
  • gameizes.com
  • gamezess.com
  • gamingcolonys.com
  • gardenearthis.com
  • garilc.com
  • globepayinfo.com
  • goodsforuw.com
  • goshopeerz.com
  • gosport24.com
  • greenrunners.org
  • healthcovid19.com
  • hinterfy.com
  • homeigardens.com
  • homelosite.com
  • hopsite.online
  • hotalsextra.com
  • hoteliqo.com
  • hoteluxurysm.com
  • incollegely.org
  • inneture.com
  • i-reality.online
  • iwoodstor.xyz
  • job4uhunt.com
  • jungelfruitime.com
  • jyfa.xyz
  • kidsfunland.org
  • kidzalnd.org
  • kidzlande.com
  • kikocruize.com
  • koraliowe.com
  • lateparties.com
  • linestrip.online
  • localtallk.store
  • londonistory.com
  • luxario.org
  • meehealth.org
  • mikontravels.com
  • monvesting.com
  • motorgamings.com
  • mwww.ro
  • naturemeter.org
  • navadatime.com
  • newsandlocalupdates.com
  • newsbuiltin.online
  • newslocalupdates.com
  • newz-globe.com
  • noraplant.com
  • nordmanetime.com
  • novinite.biz
  • nutureheus.com
  • pachadesert.com
  • pennywines.com
  • planetosgame.com
  • planningly.org
  • playozas.com
  • powercodings.com
  • projectoid.org
  • razzodev.com
  • recover-your-body.xyz
  • recovery-plan.org
  • redanddred.com
  • reloadyourbrowser.info
  • rentalproct.com
  • repo.ark-event.net
  • retailmark.net
  • runningandbeyond.org
  • setclass.live
  • sevensdfe.com
  • shoeszise.xyz
  • shoplifys.com
  • shoppingeos.com
  • sidelot.org
  • skyphotogreen.com
  • space-moon.com
  • sseamb.com
  • stayle.co
  • stockstiming.org
  • strainservice.com
  • studiesutshifts.com
  • studyreaserch.com
  • study-search.com
  • studyshifts.com
  • studysliii.com
  • styleanature.com
  • stylelifees.com
  • subcloud.online
  • sunclub.site
  • sunnyweek.site
  • sunsandlights.com
  • takebreak.io
  • takestox.com
  • teachlearning.org
  • techpowerlight.com
  • thegreenlight.xyz
  • thenewsfill.com
  • thepila.com
  • thetimespress.com
  • timeeforsports.com
  • tokenberries.com
  • topuprr.com
  • transformaition.com
  • treerroots.com
  • unitedyears.com
  • vinoneros.com
  • wellnessjane.org
  • whiteandpiink.com
  • white-rhino.online
  • wikipedoptions.com
  • wilddog.site
  • wildhour.store
  • wombatcash.com
  • womnbling.com
  • youristores.com
  • zebra-arts.com
  • zedforme.com
  • zeebefg.com
  • zero.sudolite.ml
  • zooloow.com

URLs

  • https://od.lk/d/d021d412be456a6f78a0052a1f0e3557dcfa14bf25f9d0f1d0d2d7dcdac86c73/Background.png

SHA256

  • 05b7517cb05fe1124dd0fad4e85ddf0fe65766a4c6c9986806ae98a427544e9d
  • 0a5eebf19ccfe92a2216c492d6929f9cac72ef37089390572d4e21d0932972c8
  • 0ce7bc2b72286f236c570b1eb1c1eacf01c383c23ad76fd8ca51b8bc123be340
  • 0f0ba8cc3e46fff0eef68ab5f8d3010241e2eea7ee795e161f05d32a0bf13553
  • 13657b64a2ac62f9d68aeb75737cca8f2ab9f21e4c38ce04542b177cb3a85521
  • 143614d31bdafc026827e8500bdc254fc1e5d877cb96764bb1bd03afa2de2320
  • 17e6189c19dedea678969e042c64de2a51dd9fba69ff521571d63fd92e48601b
  • 1e66ee40129deccdb6838c2f662ce33147ad36b1e942ea748504be14bb1ee0ef
  • 1e7ca210ff7bedeefadb15a9ec5ea68ad9022d0c6f41c4e548ec2e5927026ba4
  • 202ac3d32871cb3bf91b7c49067bfc935fbc7f0499d357efead1e9f7f5fcb9d1
  • 26e68684f5b76d9016d4f02b8255ff52d1b344416ffc19a2f5c793ff1c2fdc65
  • 29eface0054da4cd91c72a0b2d3cda61a02831b4c273e946d7e106254a6225a7
  • 2e8d2525a523b0a47a22a1e9cc9219d6526840d8b819d40d24046b17db8ea3fb
  • 343c9ca3787bf763a70ed892dfa139ba69141b61c561c128084b22c16829c5af
  • 3685d000f6a884ca06f66a3e47340e18ff36c16b1badb80143f99f10b8a33768
  • 45059f26e32da95f4bb5dababae969e7fceb462cdeadf7d141c39514636b905a
  • 4a4cb8516629c781d5557177d48172f4a7443ca1f826ea2e1aa6132e738e6db2
  • 4e65ec5dee182070e7b59db5bb414e73fe87fd181b3fc95f28fe964bc84d2f1f
  • 539640a482aaee2fe743502dc59043f11aa8728ce0586c800193e30806b2d0e5
  • 54d1daf58ecd4d8314b791a79eda2258a69d7c69a5642b7f5e15f2210958bdce
  • 5625d41f239e2827eb05bfafde267109549894f0523452f7a306b53b90e847f2
  • 57f83ca864a2010d8d5376c68dc103405330971ade26ac920d6c6a12ea728d3d
  • 62f23fea8052085d153ac7b26dcf0a15fad0c27621f543cf910e37f8bf822e0e
  • 62f9eae8a87f64424df90c87dd34401fe7724c87a394d1ba842576835ab48afc
  • 66c76cfc64b7a5a06b6a26976c88e24e0518be3554b5ae9e3475c763b8121792
  • 6c59af3ed1a616c238ee727f6ed59e962db70bc5a418b20b24909867eb00a9d6
  • 77dd28a11e3e4260b9a9b60d58cb6aaaf2147da28015508afbaeda84c1acfe70
  • 788e15fd87c45d38629e3e715b0cb93e55944f7c4d59da2e480ffadb6b981571
  • 7bfd0054aeb8332de290c01f38b4b3c6f0826cf63eef99ddcd1a593f789929d6
  • 8176991f355db10b32b7562d1d4f7758a23c7e49ed83984b86930b94ccc46ab3
  • 82e67114d632795edf29ce1d50a4c1c444846d9e16cd121ce26e63c8dc4a1629
  • 869f4fb3f185b2d1231d9378273271ddfeebb53085daede89989f9cc8d364f5f
  • 874b0691378091a30d1b06f2e9756fc7326d289b03406023640c978ff7c87712
  • 8aa89a428391683163f0074a8477d554d6c54cab1725909c52c41db2942ac60f
  • 90b0a4c9fe8fd0084a5d50ed781c7c8908f6ade44e5654acffea922e281c6b33
  • 93738314c07ea370434ac30dad6569c59a9307d8bbde0e6df9be9e2a7438a251
  • 95e4cc13f8388c195a1220cd44d26fcb2e10b7b8bfc3d69efbc51beb46176ff1
  • a2d3c41e6812044573a939a51a22d659ec32aea00c26c1a2fdf7466f5c7e1ee9
  • abca3253c003af67113f83df2242a7078d5224870b619489015e4fde060acad0
  • aed95a8f5822e9b1cd1239abbad29d3c202567afafcf00f85a65df4a365bedbb
  • bdfd89bdf6bc2de5655c3fe5f6f4435ec4ad37262e3cc72d8cb5204e1273ccd6
  • bf582b5d470106521a8e7167a5732f7e3a4330d604de969eb8461cbbbbdd9b9a
  • c304a9156a032fd451bff49d75b0e9334895604549ab6efaab046c5c6461c8b3
  • cacb77006b0188d042ce95e0b4d46f88828694f3bf4396e61ae7c24c2381c9bf
  • cdc28e7682f9951cbe2e55dad8bc2015c1591f89310d8548c0b7a1c65dbefae3
  • cf232e7d39094c9ba04b9713f48b443e9d136179add674d62f16371bf40cf8c8
  • e3361727564b14f5ee19c40f4e8714fab847f41d9782b157ea49cc3963514c25
  • e3dd20829a34caab7f1285b730e2bb0c84c90ac1027bd8e9090da2561a61ab17
  • e4840c5ac2c2c2170d00feadb5489c91c2943b2aa13bbec00dbcffc4ba8dcc2d
  • e5980e18319027f0c28cd2f581e75e755a0dace72f10748852ba5f63a0c99487
  • ea31e626368b923419e8966747ca33473e583376095c48e815916ff90382dda5
  • eb33c98add35f6717a3afb0ab2f9c0ee30c6f4e0576046be9bf4fbf9c5369f71
  • eb57788fd2451b90d943a6a796ac5e79f0faf7151a62c1d07b744a351dcfa382
  • ef28ee3301e97eefd2568a3cb4b0f737c5f31983710c75b70d960757f2def74e
  • f9c7dd489dd56e10c4e003e38428fe06097aca743cc878c09bf2bda235c73e30
  • fd65bd8ce671a352177742616b5facc77194cccec7555a2f90ff61bad4a7a0f6

 

 

Похожие записи:
  1. XorDdos Trojan IOCs
  2. Vidar Malware IOC
  3. MetaStealer Malware IOC
  4. CryptoShuffler Malware IOC
  5. FFDroider Malware IOC
DEV-0196 iOS Malware Microsoft
Добавить комментарий