Confucius APT
孔子 APT(高级持续威胁)活动的第一个迹象可以追溯到 2013 年。从那时起,黑客团体一直活跃,最新一波攻击发生在 2020 年 12 月。人们坚信孔子是国家支持的,表现出亲印关系。多年来,主要目标是东南亚地区的政府机构、巴基斯坦军人、核机构和印度选举官员。
该组织主要专注于数据窃取和侦察行动,这塑造了其恶意软件工具包。第一个归因于孔子的是 ChatSpy。它作为 2017 年行动的一部分进行部署,充当监视工具。 2016 年至 2019 年期间,该组织积极开发SunBird 恶意软件,这是一种功能扩展的 Android 间谍软件威胁。尽管 SunBird 的功能还针对数据窃取,包括设备标识符、GPS 位置、联系人列表、通话记录等,但它旨在通过从应用程序中提取文档、数据库和图像来专门针对 WhatsApp。此外,SunBird 配备了远程访问特洛伊木马 (RAT) 功能,允许孔子在已经受感染的设备上投放额外的恶意软件负载。
最近的孔子行动是在 2020 年 12 月观察到的,它使用了一种完全不同的 Android 间谍软件。它被命名为犀鸟,展示了该团体活动的演变。实际上,与 SunBird 相比,Hornbill 的能力范围有所缩小,但这使得威胁可以充当更谨慎的工具,旨在有选择地从目标收集数据。 Hornbill 失去了 RAT 功能,但获得了滥用 Android 辅助功能来检测和记录活动的 WhatsApp 呼叫的能力。
