Facebook母公司Meta披露，它對南亞的兩個攻擊組織采取了反制行動，這兩個組織都是利用其社交媒體平臺向潛在目標分發惡意軟件。

Bitter APT

第一組組織的行動在Meta的描述中是呈現持續和資源豐富的特征，是由一個以Bitter APT（又名APT-C-08或T-APT-17）為名追蹤的黑客組織進行，目標是新西蘭、印度、巴基斯坦和英國的個人。

Meta公司在其《季度對抗性威脅報告》中稱Bitter使用各種惡意戰術在網上攻擊人們，用惡意軟件感染他們的設備。該組織混合使用鏈接縮短服務、惡意域名、被破壞的網站和第三方托管提供商等諸多方式來分發他們的惡意軟件。

這些攻擊者會在平臺上創建虛構的角色，偽裝成有吸引力的年輕女性，以期與目標建立信任，引誘目標點擊帶有惡意軟件的假鏈接，攻擊者說服受害者通過蘋果TestFlight下載一個iOS聊天應用程序，TestFlight是一個合法的在線服務，可用于測試應用程序并向應用程序開發人員提供反饋。

研究人員表示該行為意味著黑客不需要依靠漏洞來向目標提供定制的惡意軟件，只要攻擊者說服人們下載蘋果Testflight并欺騙他們安裝他們的聊天應用程序，就可以利用蘋果的官方服務來分發該惡意應用程序，使得該欺詐行為變得合法化。

雖然該應用程序的功能尚不明確，但它被懷疑是作為一種社會工程上的欺詐手段，通過專門為此目的策劃的聊天媒介對活動的受害者進行監控。

此外，Bitter APT運營商使用了一個全新的安卓惡意軟件，稱為Dracarys，它濫用操作系統的可訪問性權限，安裝任意應用程序，錄制音頻，捕捉照片，并從受感染的手機中獲取敏感數據，如通話記錄、聯系人、文件、文本信息、地理位置和設備信息。

Dracarys是通過冒充YouTube、Signal、Telegram和WhatsApp的木馬程序傳遞的，延續了攻擊者傾向于部署偽裝成合法軟件的惡意軟件來侵入移動設備的趨勢。

此外，作為對抗性適應的一個標志，Meta注意到該組織通過在聊天線程中發布破碎的鏈接或惡意鏈接的圖片來反擊其檢測和阻止工作，要求接收者在他們的瀏覽器中輸入鏈接。

Bitter的起源是一個謎，其行為特征難將其與任何一個特定的國家聯系起來，該組織被認為是在南亞運作的，最近擴大了重點，打擊孟加拉國的軍事實體。

Transparent Tribe

第二個被Meta反制的集體是Transparent Tribe（又名APT36），這是一個據稱以巴基斯坦為基地的APT組織，該組織使用定制的惡意工具攻擊印度和阿富汗的政府機構的記錄。

最新的一系列入侵事件表明該組織是一個綜合體，專門針對阿富汗、印度、巴基斯坦、沙特阿拉伯和阿聯酋的軍事人員、政府官員、人權和其他非營利組織的雇員以及學生。

這些攻擊者通過冒充公司的招聘人員、軍事人員或希望建立浪漫關系的年輕女性，使用這些虛假身份進行社交騙局，最終誘使受害者打開承載惡意軟件的鏈接。

下載的文件包含LazaSpy，這是一款名為XploitSPY的開源安卓監控軟件的修改版，同時還利用非官方的WhatsApp、微信和YouTube克隆應用來傳遞另一款名為Mobzsar（又名CapraSpy）的商品惡意軟件。

這兩款惡意軟件都帶有收集通話記錄、聯系人、文件、短信、地理位置、設備信息和照片的功能，并啟用了設備的麥克風，使它們成為有效的監視工具。

研究人員表示這個組織的行動體現了在全球APT攻擊中的一種趨勢，即低級別的團體更多地選擇依靠公開的惡意工具，而不是投資開發或購買復雜的進攻能力。這些 低成本工具基本不需要多少專業技術即可使用，這就使得攻擊門檻大幅度降低，黑客攻擊與監視也會變得更加普遍。