Facebook母公司Meta披露,它对南亚的两个攻击组织采取了反制行动,这两个组织都是利用其社交媒体平台向潜在目标分发恶意软件。
Bitter APT
第一组组织的行动在Meta的描述中是呈现持续和资源丰富的特征,是由一个以Bitter APT(又名APT-C-08或T-APT-17)为名追踪的黑客组织进行,目标是新西兰、印度、巴基斯坦和英国的个人。
Meta公司在其《季度对抗性威胁报告》中称Bitter使用各种恶意战术在网上攻击人们,用恶意软件感染他们的设备。该组织混合使用链接缩短服务、恶意域名、被破坏的网站和第三方托管提供商等诸多方式来分发他们的恶意软件。
这些攻击者会在平台上创建虚构的角色,伪装成有吸引力的年轻女性,以期与目标建立信任,引诱目标点击带有恶意软件的假链接,攻击者说服受害者通过苹果TestFlight下载一个iOS聊天应用程序,TestFlight是一个合法的在线服务,可用于测试应用程序并向应用程序开发人员提供反馈。
研究人员表示该行为意味着黑客不需要依靠漏洞来向目标提供定制的恶意软件,只要攻击者说服人们下载苹果Testflight并欺骗他们安装他们的聊天应用程序,就可以利用苹果的官方服务来分发该恶意应用程序,使得该欺诈行为变得合法化。
虽然该应用程序的功能尚不明确,但它被怀疑是作为一种社会工程上的欺诈手段,通过专门为此目的策划的聊天媒介对活动的受害者进行监控。
此外,Bitter APT运营商使用了一个全新的安卓恶意软件,称为Dracarys,它滥用操作系统的可访问性权限,安装任意应用程序,录制音频,捕捉照片,并从受感染的手机中获取敏感数据,如通话记录、联系人、文件、文本信息、地理位置和设备信息。
Dracarys是通过冒充YouTube、Signal、Telegram和WhatsApp的木马程序传递的,延续了攻击者倾向于部署伪装成合法软件的恶意软件来侵入移动设备的趋势。
此外,作为对抗性适应的一个标志,Meta注意到该组织通过在聊天线程中发布破碎的链接或恶意链接的图片来反击其检测和阻止工作,要求接收者在他们的浏览器中输入链接。
Bitter的起源是一个谜,其行为特征难将其与任何一个特定的国家联系起来,该组织被认为是在南亚运作的,最近扩大了重点,打击孟加拉国的军事实体。
Transparent Tribe
第二个被Meta反制的集体是Transparent Tribe(又名APT36),这是一个据称以巴基斯坦为基地的APT组织,该组织使用定制的恶意工具攻击印度和阿富汗的政府机构的记录。
最新的一系列入侵事件表明该组织是一个综合体,专门针对阿富汗、印度、巴基斯坦、沙特阿拉伯和阿联酋的军事人员、政府官员、人权和其他非营利组织的雇员以及学生。
这些攻击者通过冒充公司的招聘人员、军事人员或希望建立浪漫关系的年轻女性,使用这些虚假身份进行社交骗局,最终诱使受害者打开承载恶意软件的链接。
下载的文件包含LazaSpy,这是一款名为XploitSPY的开源安卓监控软件的修改版,同时还利用非官方的WhatsApp、微信和YouTube克隆应用来传递另一款名为Mobzsar(又名CapraSpy)的商品恶意软件。
这两款恶意软件都带有收集通话记录、联系人、文件、短信、地理位置、设备信息和照片的功能,并启用了设备的麦克风,使它们成为有效的监视工具。
研究人员表示这个组织的行动体现了在全球APT攻击中的一种趋势,即低级别的团体更多地选择依靠公开的恶意工具,而不是投资开发或购买复杂的进攻能力。这些 低成本工具基本不需要多少专业技术即可使用,这就使得攻击门槛大幅度降低,黑客攻击与监视也会变得更加普遍。
消息来源:https://thehackernews.com/2022/08/meta-cracks-down-on-cyber-espionage.html