安全星图平台

双尾蝎

2016年5月起至今，双尾蝎组织对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台主要包括Windows与Android，攻击范围主要为中东地区。使用的后门程序主要伪装成文档、播放器、聊天软件以及一些特定领域常用软件，通过鱼叉或水坑等攻击方式配合社会工程学手段进行渗透，向特定目标人群进行攻击。

历史活动组织概况 IOC情报

2023-09-20
APT-C-23持续对中东地区发起攻击安恒威胁情报中心

自2023年4月被曝使用新工具集攻击巴勒斯坦地区以来，研究人员陆续监测到2023年上半年APT-C-23（双尾蝎）投放Micropsia和Arid Gopher木马攻击以色列、巴勒斯坦等地区。Micropsia是一个由Delphi编写的恶意程序，Micropsia通常在程序内打包有可执行文件。该Micropsia木马的主要功能为：1、键盘监控输出到本地文件后进行回传；2、屏幕截图回传；3、对目标机器进行指定后缀文件搜寻并进行压缩打包上传。Arid Gopher是一个以Golang编写的恶意木马程序， APT-C-23（双尾蝎）曾使用该恶意软件（Arid Viper）针对以色列目标，此前也曾与哈马斯组织有过联系。
2023-09-01
双尾蝎组织发动的多重远控指令攻击分析安恒威胁情报中心

双尾蝎在移动端的攻击活动十分频繁，该组织的攻击手法多样，恶意样本多仿冒Android系统软件和Google全家桶软件。研究人员在近期捕获到一例双尾蝎新型攻击样本，采用SMS和FCM方式下发远控指令，其中FCM下发的远控指令数量惊人，增加到了76个，远控功能可谓是非常完善。因其代码框架和恶意功能与双尾蝎的“JW”攻击武器相似，而c2加密下沉到so层，将其认为是新型Android RAT武器。
2023-04-06
APT-C-23组织使用自定义工具攻击巴勒斯坦目标安恒威胁情报中心

从2022年9月开始，APT-C-23针对巴勒斯坦领土内的组织发起了攻击，活动至少持续到2023年2月。在最近的攻击中，该组织使用了一系列自制的恶意软件工具，例如ViperRat、FrozenCell（又名 VolatileVenom）和Micropsia，以在 Windows、Android 和 iOS 平台上执行和隐藏其活动，进行广泛的凭据盗窃和被盗数据的泄露。
2023-03-31
APT-C-23组织最新攻击活动分析安恒威胁情报中心

2020年2月，以色列国防军发布推文称，他们成功防御了哈马斯利用社交媒体伪装成美女针对色列国防军的一系列网络攻击行动，并且以色列情报部门采取了相应的反制措施，入侵并摧毁了哈马斯的攻击系统。其中针对以色列国防军发起网络攻击的组织被认为是APT-C-23（双尾蝎）组织。近期，研究人员再次发现哈马斯最新的攻击行动，本次攻击行动中使用的样本与以色列国防军披露的样本属于同源家族，该攻击行动开始于2022年6月，至今仍然处于活跃状态。与以往不同的是，本次攻击行动中使用的攻击样本利用重打包技术将恶意应用作为子包打包进合法的应用。
2022-12-30
双尾蝎新型移动端恶意软件分析报告安恒威胁情报中心

双尾蝎是一个长期针对中东地区的高级持续威胁组织，其最早于2017年被披露。近日，研究人员捕获到了该组织的一款新型恶意样本，其在使用经典武器库的同时，集成了最新的开源Android RAT武器库，借助SMS和FCM服务，实现了复合型的更强的远程控制功能。
2022-07-07
疑似AridViper组织伪装Threema通讯软件攻击分析安恒威胁情报中心

APT-C-23（双尾蝎）又被称为AridViper 、Micropsia、FrozenCell、Desert Falcon，攻击范围主要为中东地区相关国家的教育机构、军事机构等重要领域。研究人员关联到了双尾蝎与之前攻击不太相同的活动，此次攻击行动直接把商业RAT伪装成Threema诱使用户点击打开，Threema是瑞士开发的一款付费的开源端到端加密即时通讯应用程序。
2022-04-07
Operation Bearded Barbie：APT-C-23组织针对以色列官员的攻击活动猎影实验室

APT-C-23是一个讲阿拉伯语且具有政治动机的APT组织，与哈马斯（伊斯兰抵抗运动）有关，攻击活动主要针对中东讲阿拉伯语的个人。研究人员最近发现了一项针对以色列个人的新的精心策划的活动，目标为在国防、执法、紧急服务和其他政府相关组织工作的知名官员。该攻击涉及一个虚假消息应用程序（称为VolatileVenom）、一个下载程序（称为Barbie Downloader）和一个后门程序（BarbWire Backdoor），目的疑似是为了进行间谍活动。活动初始感染链如下图：
2021-12-23
PyMICROPSIA：双尾蝎的新型窃密木马再度来袭猎影实验室

双尾蝎（APT-C-23）是一个长期针对中东地区的高级持续威胁组织，最早于2017年被披露。研究人员捕获了该组织以Python构建的攻击样本，该类样本最早由国外厂商发现并命名为PyMICROPSIA。简况PyMICROPSIA具有丰富的信息窃取和控制功能，功能包括：收集本机/外置驱动文件列表、进程信息压缩被盗信息及被盗文件/文件夹，并上传至C2截屏、录音、执行shell命令、重启、自更新payload下载与执行删除压缩文件、历史浏览记录以及配置文件双尾蝎一直以来喜欢用演员或者编剧的名字来给变量进行命名，PyMICROPSIA也不例外，其对C2以及一些变量的命名，依旧延续了其使用人名的传统。而在流程方面，本次捕获的PyMICROPSIA首先连接google.com对网络联通性进行判断，只有在返回200的状态码后才会进行后续操作，否则一直循环连接，这样做可以对一些沙箱进行规避操作，进而导致沙箱误判。
2021-11-29
APT-C-23组织以巴勒斯坦选举热点信息为诱饵的攻击活动分析猎影实验室

双尾蝎组织（APT-C-23）是一个长期针对中东地区的高级威胁组织，最早于2017年被披露。至少自2016年5月起，持续针对巴勒斯坦教育机构、军事机构等重要领域进行网络间谍活动，窃取敏感信息。近日，研究人员发现了以巴勒斯坦地区选举话题为诱饵的攻击样本。简况本次捕获的样本为RAR压缩的文件，其文件名翻译后为“大学的报告.docx.xz”。解压后里面包含一个伪装为Word图标的EXE文件，且具有较长的文件名，旨在不显示文件后缀。样本执行后将从资源获取诱饵文档释放展示，诱饵文档内容主要是关于针对巴勒斯坦选举活动举行的地点商议，其中涉及到各方势力及强宗教信息。属于中东地区双尾蝎、Molerats等组织在攻击活动中的常用话题。
2021-11-25
APT-C-23组织使用间谍软件攻击中东Android用户猎影实验室

2021年9月，研究人员发现APT-C-23组织使用Android间谍软件针对中东地区用户的攻击活动。近日，该组织再次改进了其 Android 间谍软件，增强了功能，使其更隐蔽、更持久。简况移动间谍软件名为VAMP，（又名FrozenCell、GnatSpy和Desert Scorpion），至少自 2017 年以来一直是 APT-C-23 组织的首选工具。新变种以应用程序的形式出现，声称可以在目标手机上安装更新。这些应用程序都没有托管在 Google Play 商店中，因此研究人员怀疑这些应用程序是通过 SMS 短信发送给特定用户的。间谍软件应用程序最初的图标如下图：
查看更多