BAHAMUT APT

巴哈姆特在阿拉伯语中是一个巨大的海怪，它帮助支撑着支撑地球的结构，是黑莓的研究人员给一个极具威胁的黑客组织起的名字。研究人员认为，由于目标范围广泛，巴哈姆特是一种高级持续威胁（APT），作为受雇于私人、公司甚至政府的雇佣兵运作。支持这一理论的另一个特征是黑客必须拥有的难以置信的资源访问权限，以支持其高度针对性和精心设计的攻击活动。 Bahamut 的主要关注点是网络钓鱼攻击、凭据盗窃以及非常不寻常的 APT 团体传播虚假信息活动。

巴哈姆特进行精心调整的网络钓鱼攻击

对于网络钓鱼攻击，巴哈姆特表现出对细节的惊人关注。黑客以特定个人为目标，他们观察了很长一段时间，在某些情况下，可能会持续一年多。黑客还表明他们能够攻击所有类型的设备。 Bahamut 开展了使用定制的 Windows 恶意软件的活动，并利用了各种零日漏洞，而他们最近的活动涉及对移动电话和设备的攻击。黑客们展示了对 iOS 和 Android 的深入了解。他们设法将九个威胁应用程序直接放在 AppStore 上，而通过信息安全研究人员发现的独特指纹，可以将整个 Android 应用程序归于他们。为了绕过 Apple 和 Google 的一些保护措施，巴哈姆特制作了看起来很正式的网站，其中包括隐私政策，甚至每个应用程序的书面服务条款。 Bahamut 分发的所有应用程序都具有后门功能，但它们的具体功能因应用程序而异。总的来说，这组威胁应用程序可以完全控制受感染的设备。攻击者可以枚举存储在设备上的文件类型，并窃取任何引起他们注意的文件类型。此外，巴哈姆特可以：

• 访问设备信息，
• 访问通话记录，
• 访问联系人，
• 访问通话记录和短信
• 记录电话，
• 录制视频和音频，
• 跟踪 GPS 位置。

巴哈姆特负责虚假宣传活动

巴哈姆特的威胁行动的另一个方面显示出同样程度的承诺和对细节的关注。 APT 集团制作了专门用于传播虚假信息的完整网站。为了让他们更合法，黑客还制作了虚假的社交媒体人物。该组织甚至购买了一个名为 Techsprouts 的曾经合法的科技新闻网站的域名，并将其恢复服务，以提供从地缘政治和行业新闻到有关其他黑客组织或漏洞利用经纪人的文章的一系列主题。 Techsporut 的贡献者都与黑客为真实记者拍照。 Bahamut 的几个虚假网站中的一个常见话题是 2020 年锡克教公投，自 2019 年以来，该话题一直是印度的热门话题。

至于区域偏好，巴哈姆特在中东和南亚地区一直比较活跃。事实上，黑客将他们的某些威胁应用程序的部分下载区域锁定，仅供阿拉伯联合酋长国的用户使用，而其他应用程序则伪装成斋月主题应用程序或与锡克教分离主义运动有关。

巴哈姆特资金充足

Bahamut 能够在相当长的一段时间内保持不被发现，虽然它的一些活动被信息安全研究人员发现，但它们被归因于不同的黑客组织，如 EHDevel、 Windshift 、Urpage 和 White Company。使 Bahamut 能够实现这种操作安全性的原因是在每次攻击活动中投入了大量工作以及它改变所涉及的基础设施和恶意软件工具的速度。不同操作之间也没有结转。据黑莓研究人员称，Windows 攻击中的任何 IP 地址或域都没有被用于网络钓鱼或移动活动，反之亦然。 Bahamut 还确保其活动不集中在单个托管服务提供商上，目前雇佣了 50 多个不同的提供商。正如网络安全研究人员指出的那样，实现这一目标需要付出大量的努力、时间和资源。