BAHAMUT APT

BAHAMUT APT說明

巴哈姆特在阿拉伯語中是一個巨大的海怪,它幫助支撐著支撐地球的結構,是黑莓的研究人員給一個極具威脅的黑客組織起的名字。研究人員認為,由於目標範圍廣泛,巴哈姆特是一種高級持續威脅(APT),作為受僱於私人、公司甚至政府的僱傭兵運作。支持這一理論的另一個特徵是黑客必須擁有難以置信的資源訪問權限,以支持其高度針對性和精心設計的攻擊活動。 Bahamut 的主要關注點是網絡釣魚攻擊、憑據盜竊以及非常不尋常的 APT 團體傳播虛假信息活動。

巴哈姆特進行精心調整的網絡釣魚攻擊

對於網絡釣魚攻擊,巴哈姆特表現出對細節的驚人關注。黑客針對特定個人並且他們觀察了很長一段時間,在某些情況下,可能會持續一年多。黑客還表明他們能夠攻擊所有類型的設備。 Bahamut 開展了使用定制的 Windows 惡意軟件的活動,並利用了各種零日漏洞,而他們最近的活動涉及對移動電話和設備的攻擊。黑客們展示了對 iOS 和 Android 的深入了解。他們設法將九個威脅應用程序直接放在 AppStore 上,而通過信息安全研究人員發現的獨特指紋,可以將整個 Android 應用程序歸於他們。為了繞過 Apple 和 Google 的一些保護措施,Bahamut 製作了看起來很正式的網站,其中包括隱私政策,甚至每個應用程序的書面服務條款。 Bahamut 分發的所有應用程序都具有後門功能,但它們的具體功能因應用程序而異。總的來說,這組威脅應用程序可以完全控制受感染的設備。攻擊者可以枚舉存儲在設備上的文件類型並竊取任何引起他們注意的文件類型。此外,巴哈姆特可以:

  • 訪問設備信息,
  • 訪問通話記錄,
  • 訪問聯繫人,
  • 訪問通話記錄和短信
  • 記錄電話,
  • 錄製視頻和音頻,
  • 跟踪 GPS 位置。

巴哈姆特負責虛假宣傳活動

巴哈姆特的威脅行動的另一個方面顯示出同樣程度的承諾和對細節的關注。 APT 集團製作了專門用於傳播虛假信息的完整網站。為了讓他們更合法,黑客還製作了虛假的社交媒體人物。該組織甚至購買了一個名為 Techsprouts 的曾經合法的科技新聞網站的域名,並將其恢復服務,以提供從地緣政治和行業新聞到有關其他黑客組織或漏洞利用經紀人的文章的一系列主題。 Techsporut 的貢獻者都與黑客為真實記者拍照。 Bahamut 的幾個虛假網站中的一個常見話題是 2020 年錫克教公投,自 2019 年以來,該話題一直是印度的熱門話題。

至於區域偏好,巴哈姆特在中東和南亞地區一直比較活躍。事實上,黑客將他們的某些威脅應用程序的部分下載區域鎖定,僅供阿拉伯聯合酋長國的用戶使用,而其他應用程序則偽裝成齋月主題應用程序或與錫克教分離主義運動有關。

巴哈姆特資金充足

Bahamut 能夠在相當長的一段時間內保持不被發現,雖然它的一些活動被信息安全研究人員發現,但它們被歸因於不同的黑客組織,如 EHDevel、 Windshift 、Urpage 和 White Company。使 Bahamut 能夠實現這種操作安全性的原因是在每次攻擊活動中投入了大量的工作以及它改變所涉及的基礎設施和惡意軟件工具的速度。不同操作之間也沒有結轉。據黑莓研究人員稱,Windows 攻擊中的任何 IP 地址或域都沒有被用於網絡釣魚或移動活動,反之亦然。 Bahamut 還確保其活動不集中在單個託管服務提供商上,目前僱傭了 50 多個不同的提供商。正如網絡安全研究人員指出的那樣,實現這一目標需要付出大量的努力、時間和資源。