Facebook關閉了APT32在網絡攻擊中使用的賬戶
Facebook已經關閉了其平臺上的幾個賬戶,越南的APT32組織和一個位于孟加拉國的不知名的威脅組織,這兩個網絡犯罪集團利用這些賬戶和頁面發起了釣魚攻擊和惡意軟件攻擊。
這家社交媒體巨頭表示,現在已經禁止了這兩個團伙濫用平臺、傳播惡意軟件和攻擊其他賬戶的行為。一項新的分析稱,這兩個團伙沒有任何的關系,他們利用了"完全不同 "的策略來針對Facebook用戶進行攻擊。
安全政策主管Nathaniel Gleicher和Facebook網絡威脅情報經理Mike Dvilyanski在周四的一篇文章中說,"來自越南團伙攻擊行動主要在于向目標發送惡意軟件,而來自孟加拉國的攻擊行動則專注于通過跨平臺來攻擊賬戶,使目標賬戶和頁面從Facebook上刪除"。
APT32,又稱OceanLotus,是一個有越南背景的的高級持續性威脅(APT)組織,至少從2013年就開始運作了。最近,又發現該組織與針對亞洲Android用戶的間諜活動有關(在4月份被卡巴斯基稱為PhantomLance的攻擊)。
Facebook表示,APT32利用平臺主要是針對越南的人權活動家,以及多個外國政府(包括老撾和柬埔寨的政府)、非政府組織、新聞機構和一些企業。
該威脅組織創建了Facebook頁面和賬戶,以便通過網絡釣魚和惡意軟件攻擊的方式來鎖定特定的用戶。在這里,APT23使用了各種社會工程學攻擊方式,冒充活動家或商業實體,來使得自己的身份顯得更加可信。
在這些頁面的偽裝下,APT32會說服目標通過合法的Google Play商店下載安卓應用,而這些應用又有各種權限,所以可以對受害者的設備進行監控。Threatpost已經聯系了Facebook,希望進一步了解這里所使用的具體應用。谷歌發言人也向Threatpost證實,這些攻擊中使用的應用已經從Google Play中刪除。
除了手機應用之外,APT32還會利用這些賬戶來欺騙受害者點擊被入侵了的網站--或者是他們自己創建的網站,通過加入惡意(混淆)的JavaScript,入侵受害者設備然后進行水坑攻擊。作為這種攻擊的一部分,APT32還開發了特定的惡意軟件,它將檢測受害者的操作系統(Windows或Mac),然后向他們發送一個定制的payload,然后執行惡意代碼。
Facebook還觀察到APT32在其攻擊中使用了以前使用過的策略--例如使用文件共享服務的鏈接,包括短鏈接,并在這些服務中托管惡意文件然后受害者會點擊并進行下載。
"最后,該團伙還使用了微軟Windows應用程序中的動態鏈接庫(DLL)進行側道攻擊,"Facebook說。"他們開發了.exe、.rar、.rtf和.iso格式的惡意文件,還制作了包含惡意鏈接文本的Word文檔。"
根據Facebook的說法,"我們的調查結果將這一攻擊活動與CyberOne集團聯系起來,這是越南的一家IT公司(也稱為CyberOne Security、CyberOne Technologies、Hành Tinh Company Ltd.、Planet和Diacauso)。"
Threatpost已經聯系到CyberOne集團,希望其發表評論;并且還聯系到了Facebook,詢問將這家公司與該活動聯系起來的具體證據。
同時,總部設在孟加拉國的黑客攻擊者以當地的社會活動家、記者和少數宗教群體為目標,攻擊他們的Facebook賬戶。Facebook聲稱,Don's Team(又稱Defense of Nation)和犯罪研究與分析基金會(CRAF),他們在這項攻擊活動中發現了與孟加拉國的這兩個非營利組織之間的聯系。
該公司稱,這些團伙一塊舉報Facebook用戶違反了社區標準的行為--如涉嫌冒充、侵犯知識產權、裸露和恐怖主義等行為。此外,這些團伙據稱還入侵了Facebook用戶的賬戶和頁面,并達到自己的攻擊目的。
"曾經有多次,頁面的管理員賬戶被入侵后,他們刪除了其余管理員,接管并禁用了該頁面。"Facebook表示。
Threatpost聯系了Don's Team和CRAF,希望他們能夠做進一步的評論。Don's Team發言人告訴Threatpost,"最近對Don's Team的指控完全是誤導的。"
"我們與最近孟加拉國的關于Facebook的攻擊無關,"該發言人說。"Don's Team是一個社交媒體認識和咨詢平臺。我們幫助人們解決各種與Facebook相關的問題。由于Facebook在孟加拉國沒有任何子公司,用戶會遇到許多與Facebook帳戶,頁面或者組有關的問題。因此,作為一個社交媒體咨詢團隊,當他們的帳戶被黑客攻擊而不能訪問賬戶時,我們來幫助這些用戶。當賬戶被禁用時,按照Facebook的社區標準,我們幫助受害者恢復他們的賬戶。"
Facebook警告說,以前已經刪除了攻擊者使用的平臺的賬號,這些行為背后的攻擊者是一個"狡猾頑固的對手"。
Gleicher和Dvilyanski說:"我們將盡可能地繼續分享我們的發現,以便于讓人們看到我們所發現的威脅攻擊,并采取措施來增強他們的賬戶安全"。
本文翻譯自:https://threatpost.com/facebook-accounts-apt32-cyberattacks/162186/
