MESSAGETAP

被稱為APT41（高級持續威脅）的中國黑客組織已使用稱為MESSAGETAP的複雜黑客工具發現了。 MESSAGETAP惡意軟件的第一次活動是在2019年初發現的。當APT41不開展出於經濟動機的活動時，該黑客組織將充當中國政府的攻擊犬。眾所周知，他們針對的組織和個人被認為與北京官員感興趣。

查找特定的文本字符串和目標個人

MESSAGETAP威脅損害了電信公司並以SMS消息為目標。該黑客工具經過編程，可以針對特定的個人，也可以尋找某些文本字符串和關鍵字，這些字符串可能出現在攔截的文本消息中。 MESSAGETAP惡意軟件的部署在Linux服務器上進行。這些服務器用作SMSC（短消息服務中心），它是接收和傳遞文本消息所涉及的基礎結構。當MESSAGETAP惡意軟件成功入侵主機後，它將查找'keyword_parm.txt'和'parm.txt'文件。前者包含MESSAGETAP惡意軟件旨在在攔截的文本消息中尋找的關鍵字列表。但是，後一個文件包含一個IMSI（國際移動訂戶身份）號碼列表，該號碼對於每個註冊用戶的SIM卡都是唯一的，可用於識別針對APT41間諜活動的個人。

收集的數據會定期傳輸到APT41服務器

將這兩個文件與MESSAGETAP惡意軟件的代碼一起植入目標內存後，此威脅將確保通過擦除其文件來減少威脅活動的指紋。接下來，MESSAGETAP黑客工具將通過查找被編程為嗅探的文本字符串來繼續進行攻擊，並且符合條件的文本消息將收集在列表中。 MESSAGETAP惡意軟件還將收集特定IMSI號碼的文本消息，並將其存儲在另一個列表中。然後，這兩個列表中的數據都會定期傳輸到攻擊者的服務器。 APT41可能正在使用MESSAGETAP黑客工具來破壞被認為與全球中國利益相關的政治組織，政府機構和軍事機構。

惡意軟件專家不確定APT41如何滲透到電信提供商中，但是很明顯，中國政府毫不猶豫地使用網絡犯罪分子的服務來提高他們的利益。據推測，MESSAGETAP黑客工具可用於反抗香港抗議活動，並可能被用於追踪反北京集會中的知名人物的活動。