Facebook说越南政府支持的黑客与IT公司有联系

Facebook表示，它已将一个被认为是越南政府赞助的先进黑客组织与该国的合法IT公司建立了联系。

所谓的高级持续威胁小组隶属于APT32和OceanLotus。该公司至少从2014年开始运作，其目标客户是众多行业的私营公司，以及外国政府，持不同政见者和南亚及其他地区的记者。它使用网络钓鱼等多种策略，以从头开始开发的功能齐全的台式机和移动恶意软件感染目标。为了赢得目标的信任，该小组竭尽全力创建伪装成合法人和组织的网站和在线角色。

今年早些时候，研究人员发现了至少8个在Google Play中托管的异常复杂的Android应用程序，这些应用程序与黑客组织有关。他们中的许多人至少从2018年开始就在那里。OceanLotus反复绕过Google的应用程序审查过程，部分原因是提交了良性版本的应用程序，后来对其进行了更新以添加后门程序和其他恶意功能。 FireEye于2017年在OceanLotus上发布了这份详细的报告，黑莓在这里有更多最新信息。

周四，Facebook确定越南IT公司Cyber​​One Group与OceanLotus有关联。该组列出了胡志明市的地址。

发送给寻求评论的公司的电子邮件返回了一条错误消息，指出该电子邮件服务器配置错误。然而，路透社周五的报道引述了运营该公司现在暂停的Facebook页面的人士说：“我们不是Ocean Lotus。这是一个错误。”

该帖子发布时，该公司的网站也无法访问。星期五早些时候的档案在这里。

Facebook说，最近的一项调查发现了各种著名的战术，技术和程序，包括：

社会工程：APT32在互联网上创建了虚构的角色，并以虚拟活动者和商业实体的身份出现，或者在与目标人群联系时使用了浪漫的诱惑。这些努力通常涉及在其他Internet服务上为这些假冒的角色和假冒组织创建支持，以使它们看起来更合法并可以接受包括安全研究人员在内的审查。他们的某些页面旨在吸引特定的关注者，以进行以后的网络钓鱼和恶意软件定位。

恶意的Play商店应用程序：除了使用Pages之外，APT32还诱使目标通过Google Play商店下载Android应用程序，该应用程序具有广泛的权限，可以广泛监视人的设备。

恶意软件传播：APT32破坏了网站，并创建了自己的网站，以包含混淆的恶意javascript作为其攻击目标的浏览器信息的水坑攻击的一部分。水坑攻击是指黑客感染目标目标人员经常访问的网站以破坏其设备的情况。为此，该小组构建了自定义恶意软件，该恶意软件能够在发送执行恶意代码的量身定制的有效负载之前，检测目标使用的操作系统类型（Windows或Mac）。与该小组过去的活动一致，APT32还使用了指向文件共享服务的链接，在这些文件中托管了恶意文件，供目标单击和下载。最近，他们使用缩短的链接来分发恶意软件。最后，该小组依靠Microsoft Windows应用程序中的动态链接库（DLL）侧面加载攻击。他们开发了exe，rar，rtf和iso格式的恶意文件，并交付了包含文本恶意链接的良性Word文档。

Cyber​​One Group的名字并不是研究人员第一次公开将政府支持的黑客组织与现实世界组织联系起来。 2013年，来自现为安全公司FireEye一部分的Mandiant的研究人员确定了位于中国上海的12层办公楼，作为Comment Crew的神经中心。CommentCrew是一个黑客组织，负责对140多个组织进行黑客攻击。前七年。该大楼是人民解放军61398部队的总部。在2018年，FireEye表示，在中东的一家研究实验室开发了可能威胁生命的恶意软件，篡改了中东工业设施的安全机制。俄国。 Facebook表示将取消OceanLotus滥用该公司平台的能力。 Facebook表示，它希望该组织的策略能够发展，但是改进的检测系统将使该组织更难逃避曝光。

周四的报告未提供有关Facebook如何将OceanLotus与Cyber​​One Group关联的具体信息，这使得外部研究人员难以证实这一发现。 Facebook告诉路透社，提供这些详细信息将为攻击者和其他类似攻击者提供信息，使他们将来能够逃避检测。