index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html
![]()
红雨滴团队在与东北亚APT组织对抗中,发现了近20个涉及国产软件的0day漏洞,并首次披露了Zipperdown漏洞的在野利用。攻击者利用该漏洞,通过恶意邮件传播,能够覆盖目标应用的关键组件,实现窃取用户敏感信息、控制账户等目的。这些攻击活动主要针对东北亚地区的特定人群,是两国三方谍报对抗的一部分。同时,文章还揭示了复杂的代码注入漏洞,利用邮件中的图片解析缺陷,执行任意JavaScript代码,并窃取用户账号的token和配置信息,最终实现无需密码登录操作账户,造成严重的数据泄露。
🌏 **国产软件0day漏洞频现与APT对抗:** 红雨滴团队在与东北亚APT组织的长期对抗中,发现了近20个涉及国产软件的0day漏洞,其中部分细节已在过往报告中披露。这些漏洞的出现表明攻击者对国产软件的研究深入,并可能掌握了更高级别的攻击能力,如“三角测量”般的0click能力。攻击者广泛利用这些0day,其IOC(Indicators of Compromise)涵盖了多个知名APT组织,并存在重叠。
📧 **Zipperdown漏洞首次被证实野蛮利用:** Zipperdown漏洞(存在于大量使用开源ZIP库的应用中)此前未有在野利用的公开报道。红雨滴团队是全球首个披露该漏洞被APT组织利用的团队。攻击者通过发送带有恶意利用的邮件,利用安卓邮件客户端处理IMG图像的逻辑漏洞,触发Zipperdown,解压并释放恶意的.so和.APK文件,覆盖目标组件,实现“白加黑”效果,执行下载者功能,进而控制受害者设备。
📱 **复杂的代码注入与数据窃取:** 2024年起,攻击者升级了武器载荷,利用libpanglearmor.so库执行下载者逻辑,从远程服务器下载并内存加载APK特马。该特马通过后台服务执行,能够定期向C2服务器上报WiFi信息,并执行多种指令,包括文件读写、执行命令、反向Shell等。更严重的是,一种复杂的代码注入漏洞利用了邮件IMG图片解析的缺陷,通过构造恶意JS代码,实现任意JS代码执行,并利用一个未公开的内部接口(localfile字段)读取任意文件,窃取用户的账号Token和XML配置文件,最终实现无需密码即可完全操作账户的敏感数据泄露。
📈 **国家级网络战与安全边界:** 文章指出,这些0day谍报活动可能只是国家级网络战的冰山一角,其规模和影响已接近当前安全厂商的触及极限。情报机构利用移动端普遍缺乏检测软件的弱点,大规模研发和收购攻击武器,对目标国家利益造成严重损害,并可能引发长期不可逆的经济和政治影响。
原创 红雨滴团队 2025-11-04 10:00 北京
最近几年红雨滴团队在与东北亚APT对抗过程中,发现近20个涉及国产软件的0day,相关IOC涵盖多个组织且均有重叠,Operation South Star可能是MSMT合作框架下的取证活动。本文主要披露 Zipperdown 的在野利用
概述
最近几年,奇安信威胁情报中心红雨滴团队在与东北亚地区的高级 APT 组织进行高强度对抗的过程中,发现了近 20 个涉及国产软件的 0day 漏洞,部分细节我们已经在 Operation DevilTiger[1]、Operation ShadowTiger[2]、XSS 0day+Clickonce[3] 等对外报告中披露,实际上来自东北亚地区的 0day 活动远不止在终端侧,我们捕获了多个针对安卓邮件客户端的 0day 攻击,其技术水平已达 1click,且攻击者很可能已掌握如“三角测量”般的 0click 能力。实际上近 20 个 0day 攻击所涉及的 IOC,涵盖了目前业界命名的多个组织,相互之间均有重叠。在我们视野中,只有少量的 0day(IE、国产浏览器、firefox、foxmail、wps)被用来针对政企。其余大量 0day 都被用于针对东北地区的朝鲜人和与之有往来的中国人,其中就包含本文要披露的几个移动端 0day 事件,本质上是两国三方在东北地区的谍报对抗,属于更高维度的威胁情报,与政企和个人无关。Operation South Star 也可能是 MSMT 合作框架下的取证活动[4]。Zipperdown 在野利用
ZipperDown 漏洞最早由盘古实验室于 2018 发现,大量 IOS、Android 平台的应用使用开源 ZIP 库,在开发人员没有校验路径的情况下会导致路径穿越漏洞,从而覆盖相关应用组件,实现白加黑的效果。从 2018 年至今,该漏洞尚未有公开报道显示被 APT 组织在野利用。红雨滴团队是全球首个披露 ZipperDown 漏洞遭 APT 组织在野利用的安全团队。目前相关软件已经修复该漏洞:攻击者通过给目标手机邮箱应有发送带有漏洞利用的邮件,当受害者在手机上点击邮件时会瞬间触发 Zipperdown,将精心构造的 DAT 文件解包并释放恶意的 so 和 APK 覆盖目标组件应用。邮件正文多为朝鲜劳动新闻社发布的政治新闻,我们此前有过披露[5]:2022-2023 载荷
攻击者利用某邮箱安卓版 APP 在处理 IMG 图像时的逻辑漏洞,精心构造符合格式的 DAT 文件,最终触发 Zipperdown,覆盖 app 相关库文件。APK 覆盖的路径如下:SO 覆盖的路径如下:APK 的逻辑较为简单,建立 shell 连接:so 文件则是魔改了正常的库文件 libttmplayer_lite.so,保留正常的视频解码功能,插入了一段下载者逻辑:使用特定 UA 请求 C2 服务器,获取第二阶段命令并执行:打包 databases 目录下的 sqlite 库,通过 toybox nc 命令传输到 C2 服务器上。由于覆盖了正常库文件,受害者后续每次启动 APP 都会执行该下载者逻辑,攻击者可以随时更换 C2 上的命令。2024-2025 载荷
2024 年之后攻击者替换了这套武器的载荷,替换的库名为 libpanglearmor.so。so 的逻辑为下载者:从远程服务器下载 APK 特马并且内存加载。AndroidManifest.xml 文件定义了一个后台服务,入口点为 com.example.backservice.MainActivity其功能为执行 BackClass().Register()。BackClass 类内置了 C2:会定期从 "/command 获取指令,并将指令结果发送到 /result,首次注册会访问 /victim 获取标识符设置一个线程,定期上报设备连接的 WIFI 信息。指令功能如下:passive_interval :设置每次上报 wifi 信息的间隔时间files_dir :获取内部文件目录 ctx.getFilesDirhealth :心跳包active_interval :设置每次获取指令的间隔时间upload :功能同 writecache_dir :获取 cache 目录 ctx.getCacheDirpermission :检查权限c2 :设置新 C2ls :列出指定文件夹下文件信息echo :回显exec :执行新进程read :功能同 downloadtime :获取当前时间wifi :获取设备连接的 wifi 信息shell :功能同 reverse_shellwrite :写入文件external_files_dir :获取外部文件目录 ctx.getExternalFilesDirpackages :获取设备安装的应用信息download :读取文件,将其编码为 base64reverse_shell :启动一个反向 shell 到指定的 IPnothing :返回 ok邮件结构漏洞
2024 年我们捕获到一个较为复杂的代码注入漏洞,受害者只需要在手机 app 点击恶意邮件即可触发。还是在解析 IMG 图片时没有校验,攻击者构造了四个图片用来闭合邮件正文中插入的恶意 js 代码,拼成四行 js。功能是寻找第一个 IMG 图像,将其插入正文的 HTML 中,第一个 IMG 图像中包含 base64 编码后的 js 代码,插入正文后会默认运行,从而实现执行任意 js 代码的效果:在 JS 代码中实现网络请求的方法同样是构造一个 IMG 图片,并将其插入到 HTML 正文中。为了从当前的 js 域直接访问读取手机文件,攻击者找到了一个从未公开过的内部接口,localfile 字段可以读取任意目录下的文件,我们不理解为什么几亿用户量的软件会出现这种简单粗暴的内部接口,可能是研发测试?总之攻击者对国产软件的研究非常深入,结合近 20 个 0day 各式各样的触发点,我们甚至怀疑攻击者可能拿到了相关源码。https://app.XXXXX.XXX.com/?localfile=/data/data/com.XXXXXXX.mail/databases/XXXX攻击者请求了两个文件,一个是 sqlite 数据库,通过解析相关数据后获取目标账号的 token。另一个是 app 的 xml 配置文件,包含了该账号的配置信息,包含各类 key。最后将上述数据 base64 加密后传输给 C2,攻击者最终能窃取用户的登录状态,无需密码登录就能以用户的身份完全操作账户,访问所有邮件、联系人、文件等敏感数据。我们在安卓模拟器里触发 0day 后抓包截图如下:总结
经过多年高强度的对抗,这些已被发现的 0day 谍报活动很可能只是国家级网络战的冰山一角,但已经接近当前安全厂商能触及的极限。各国情报机构利用移动端天然缺乏普遍检测软件这一弱点,大规模研发与收购相关攻击武器,严重损害目标国家利益,并在经济与政治层面引发长期不可逆的损害。IOC
Md5:0942fbe13e4dca2b451bdf3c6c572078724ae8064f2fc9c713e0388467c8d6b51c1ffd11069765779733dbf8b45015f1参考链接
[1] https://ti.qianxin.com/blog/articles/operation-deviltiger-0day-vulnerability-techniques-and-tactics-used-by-apt-q-12-disclosed-cn/[2] https://ti.qianxin.com/blog/articles/the-tiger-of-the-forest-entrenched-on-foyan-mountain/[3] https://ti.qianxin.com/blog/articles/clickonce-group-combines-0day-and-clickonce-technology-to-carry-out-espionage-activities-cn/[4] https://msmt.info/Publications/detail/MSMT%20Report/4221[5] https://mp.weixin.qq.com/s/5rDjDrfEZUsB1XAR-SvBtA点击阅读原文至ALPHA 8.3即刻助力威胁研判阅读原文
跳转微信打开
