对孟加拉国和越南的黑客采取行动

2020-12-12 12:49:09

今天,我们分享了针对两个单独的黑客群体采取的行动-越南的APT32和孟加拉国的一个团队-消除了他们使用其基础架构来滥用我们的平台,分发恶意软件并在互联网上入侵人们的帐户的能力。

Facebook的威胁情报分析师和安全专家致力于发现和阻止各种威胁,包括恶意软件活动,影响运营以及国家对手,黑客等对我们平台或单个Facebook帐户的黑客攻击。作为这些努力的一部分,我们的团队通常会通过禁用它们来破坏对手的操作,通知用户是否应采取措施保护自己的帐户,公开分享我们的发现并继续提高我们产品的安全性。

今天,我们将分享我们最新的研究和执法行动,以防止企图破坏人们的帐户并获得其信息的访问权,这通常被称为网络间谍活动。这两个没有联系的团体使用截然不同的策略将目标锁定在我们平台上和互联网上其他地方的人们。越南的行动主要着眼于将恶意软件传播到目标,而孟加拉国的行动则着眼于跨平台破坏帐户并协调报告以从Facebook中删除目标帐户和页面。

这些行动的幕后推手都是顽强的对手,我们希望他们不断发展战术。但是,我们的检测系统和威胁调查人员以及安全社区中的其他团队在不断改进,以使他们更难被发现。我们将继续尽可能分享我们的发现,以便人们意识到我们所面临的威胁,并可以采取措施来加强其帐户的安全性。

总部位于孟加拉国的该组织针对本地激进分子,新闻工作者和宗教少数群体,包括生活在国外的少数民族,以破坏他们的帐户,并因违反我们的社区标准而使其中一些人被Facebook禁用。我们的调查将这项活动与孟加拉国的两个非营利组织联系起来:唐的团队(也称为国家防卫组织)和犯罪研究与分析基金会(CRAF)。他们似乎在许多互联网服务上运行。

Don’s团队与CRAF合作,在Facebook上举报了涉嫌违反我们社区准则的行为,包括涉嫌冒名顶替,侵犯知识产权,裸露和恐怖主义。他们还入侵了人们的帐户和信息页,并将其中一些遭到破坏的帐户用于其自身的经营目的,包括扩大其内容。至少在一次情况下,专页管理员的帐户遭到入侵后,他们删除了剩余的管理员来接管并禁用专页。我们的调查表明,这些有针对性的黑客尝试可能是通过多种非平台策略进行的,包括电子邮件和设备泄露以及滥用我们的帐户恢复流程。

为了中断此活动,我们删除了此操作背后的帐户和页面。我们与行业合作伙伴共享了有关此组的信息,因此他们也可以检测并停止此活动。我们鼓励人们保持警惕并采取措施保护自己的帐户,避免点击可疑链接,并从不受信任的来源下载软件,这些软件可能会危害他们的设备和存储在其中的信息。

APT32是总部设在越南的高级持续威胁行为者,目标对象是越南境内和海外的越南人权活动家,老挝和柬埔寨的外国政府,非政府组织,新闻社以及许多企业,涉及信息技术,酒店,农业和商品,医院,零售,汽车工业以及带有恶意软件的移动服务。我们的调查将这项活动与越南的IT公司Cyber​​One Group(也称为Cyber​​One Security,Cyber​​One Technologies,HànhTinh Company Limited,Planet和Diacauso)联系在一起。

正如我们的行业合作伙伴先前所报告的那样,APT32已在互联网上部署了广泛的对抗策略。几年来,我们一直在跟踪并采取针对该小组的行动。我们最近的调查分析了许多著名的战术,技术和程序(TTP),包括:

社会工程:APT32在互联网上创建了虚拟的人物角色,冒充活动家和商业实体,或者在与他们所针对的人联系时使用了浪漫的诱惑。这些努力通常涉及在其他Internet服务上为这些假冒的角色和假冒组织创建支持,以使它们看起来更合法并可以经受包括安全研究人员在内的审查。他们的某些页面旨在吸引特定的关注者,以进行以后的网络钓鱼和恶意软件定位。

恶意的Play商店应用:除了使用Pages之外,APT32还诱骗目标通过Google Play商店下载Android应用,这些应用具有广泛的权限,可以广泛监视用户的设备。

恶意软件传播:APT32破坏了网站,并创建了自己的网站,以包含混淆的恶意javascript作为其攻击目标的浏览器信息的水坑攻击的一部分。水坑攻击是指黑客感染目标目标人员经常访问的网站以破坏其设备的情况。为此,该小组构建了自定义恶意软件,该恶意软件能够在发送执行恶意代码的量身定制的有效负载之前,检测目标使用的操作系统类型(Windows或Mac)。与该小组过去的活动一致,APT32还使用了指向文件共享服务的链接,在这些文件中托管了恶意文件,供目标单击和下载。最近,他们使用缩短的链接来分发恶意软件。最后,该小组依靠Microsoft Windows应用程序中的动态链接库(DLL)侧面加载攻击。他们开发了exe,rar,rtf和iso格式的恶意文件,并交付了包含文本恶意链接的良性Word文档。

我们调查和破坏的最新活动的特点是,资源充足且持续不断,着眼于多个目标,同时混淆了其来源。我们与业界同行分享了包括YARA规则和恶意软件签名在内的发现,以便他们也可以检测并阻止此活动。为了中断此操作,我们阻止了相关域的发布在我们的平台上,删除了该组的帐户,并通知了我们认为APT32成为目标的人员。

规则APT32_goopdate_installer { 元: 参考=“ https://about.fb.com/news/2020/12/taking-action-against-hackers-in-bangladesh-and-vietnam/” 作者=“ Facebook” description =&检测到侧面加载了goopdate.dll的APT32安装程序" 样本=" 69730f2c2bb9668a17f8dfa1f1523e0e1e997ba98f027ce98f5cbaa869347383" 字符串: $ s0 = {68? ?? ?? ?? 57 A3 ?? ?? ?? ?? FF D6 33 05 ?? ?? ?? ?? } $ s1 =" GetProcAddress" $ s2 = {8B 4D FC ?? ?? 0F B6 51 0C ?? ?? 8B 4D F0 0F B6 1C 01 33 DA} $ s3 =" FindNextFileW" $ s4 =" Process32NextW" 健康)状况: (pe.is_64bit()或pe.is_32bit())和 他们全部 }

规则APT32_osx_backdoor_loader { 元: 参考=“ https://about.fb.com/news/2020/12/taking-action-against-hackers-in-bangladesh-and-vietnam/” 作者=“ Facebook” description ="检测OSX上的APT32后门加载程序" 样本=" 768510fa9eb807bba9c3dcb3c7f87b771e20fa3d81247539e9ea4349205e39eb" 字符串: $ a1 = {00 D2 44 8A 04 0F 44 88 C0 C0 E8 07 08 D0 88 44 0F FF 48 FF C1 48 83 F9 10 44 88 C2} $ a2 = {41 0F 10 04 07 0F 57 84 05 A0 FE FF FF 41 0F 11 04 07 48 83 C0 10 48 83 F8 10 75} //加密的数据 $ e1 = {CA CF 3E F2 DA 43 E6 D1 D5 6C D4 23 3A AE F1 B2} //解码以删除文件路径:' / tmp / panels' $ e2 =" MlkHVdRbOkra9s + G65MAoLga340t3 + zj / u8LPfP3hig =" //解码以导出API名称' ArchaeologistCodeine' $ e3 = {5A 69 98 0E 6C 4B 5C 69 7E 19 34 3B C3 07 CA 13} //解码为' ifconfig -l' $ e4 =" 1Sib4HfPuRQjpxIpECnxxTPiu3FXOFAHMx / + 9MEVv9M + h1ngV7T5WUP3b0zsg0Qd" //解码以导出API' PlayerAberadurtheIncomprehensible' //解码后的导出函数名称 $ e5 =" _ArchaeologistCodeine" $ e6 =" _PlayerAberadurtheIncomprehensible" 健康)状况: (((uint32(0)== 0xfeedface或uint32be(0)== 0xfeedface)或(uint32(0)== 0xfeedfacf或uint32be(0)== 0xfeedfacf))和 ( ($ e *)的2或 全部($ a *) ) }