主要发现 伪装对象 载荷投递 社交工具 Google Drive 样本分析 SpyNote Mobihok WH-RAT 888RAT Metasploit EsecretRAT 溯源关联 总结 IOC 参考： 主要发现 近期，360烽火实验室发现一起针对巴以地区攻击活动，攻击者使用了多种商业间谍软件，同时也基于开源代码构建了独有的间谍软件。通过分析，我们发现该攻击活动自2018年开始，并持续至今。根据攻击者使用的伪装对象，我们推测攻击目标可能为巴以地区。 伪装对象 攻击者通过将合法的应用打包进间谍软件进行伪装，伪装对象为各种社交应用、阿克萨电台、阿克萨清真寺、耶路撒冷指南、PDF查看器等应用。 图1 伪装对象图标 载荷投递 社交工具 Threema是一款付费的开源端到端加密即时通讯应用程序，我们发现攻击者会将间谍软件伪装成Threema应用进行攻击活动。通过伪装对象的CC信息，我们发现了疑似攻击者使用的钓鱼链接，该钓鱼链接伪装成Facebook网站。我们推测攻击者可能使用了Facebook进行传播钓鱼网站。下图为开源项目pihole-blocklists中记录的疑似攻击者使用的钓鱼网站。 图2 pihole-blocklists部分内容 另外，在部分受害者手机中，样本出现在WhatsApp文档路径中，进一步说明攻击者使用社交工具进行载荷投递。 图3 文件路径 Google Drive 在关联溯源中，我们发现一个名为“تسريب-اجتماع-القائد-محمد-دحلان-و-المخابرات-المصريه.pdf（Mohammed Dahlan 指挥官和埃及情报会议 (MoM) 泄漏.pdf）”的文档，该文档内容模糊不清，并包含一个阿拉伯语段落，旨在引诱受害者点击Google Drive链接下载Adobe Reader更新。其中Google Drive 链接指向...