FireEyeMandiant最近发现了(中国APT团体)APT41使用的新恶意软件家族,该家族旨在监视并保存特定电话号码,IMSI号码中中标关键词SMS信息。该工具名为MESSAGETAP,由APT41部署在一家电信网络提供商中,以支持中国的间谍活动。APT41的业务包括国家赞助的网络间谍活动以及出于经济动机的入侵。这些行动早在年就一直持续到今天。
MESSAGETAP概述
APT41的最新间谍工具MESSAGETAP是在年对一家电信网络提供商的Linux服务器集群进行的调查中发现的。具体来说,这些Linux服务器用作短消息服务中心(SMSC)。在移动网络中,SMSC负责将短消息服务(SMS)消息发送到预期的收件人或将其存储,直到收件人收到该信息。
MESSAGETAP是由安装脚本加载的64位ELF数据挖掘器。安装后,该恶意软件会检查是否存在两个文件:keyword_parm.txt和parm.txt,并尝试每30秒读取一次配置文件。如果存在,则读取内容并使用字符串进行XOR解码:
hxxp://