孟加拉国和越南采取行动打击黑客

由安全政策主管Nathaniel Gleicher和网络威胁情报经理Mike Dvilyanski撰写

今天,我们正在分享我们对越南的两个独立黑客组合的行动和基于孟加拉国的小组 - 删除他们使用基础架构滥用我们的平台,在互联网上分发恶意软件和黑客人们的账户的能力。

Facebook的威胁情报分析师和安全专家致力于发现并阻止一系列威胁,包括恶意软件的活动,影响操作以及国家对手、黑客和其他人入侵我们的平台或个人Facebook账户。作为这些努力的一部分,我们的团队经常通过禁用敌人的行动来干扰他们,通知用户是否应该采取措施保护他们的账户,公开分享我们的发现,并继续提高我们产品的安全性。

今天,我们正在分享我们的最新的研究和执法行动,反对企图损害人民账户并获得其信息,通常被称为Cyber​​间谍活动。这两个未连接的团体在我们的平台和互联网上的其他地方使用非常不同的策略来定位人们。来自越南的操作主要专注于将恶意软件传播到其目标,而孟加拉国的操作侧重于跨平台的妥协账户,并协调报告以获取从Facebook中删除的目标帐户和页面。

这些行动背后的人是持久的对手,我们希望他们能够发展他们的策略。然而,我们的检测系统和威胁调查人员以及安全界的其他团队继续改善,使他们更加努力地保持未被发现。我们将继续在可能的情况下分享我们的调查结果,因此人们意识到我们所看到的威胁,可以采取措施加强其账户的安全。

以下是我们的发现

孟加拉国

基于孟加拉国的集团针对当地的活动家,记者和宗教少数群体,包括国外的人,妥协他们的账户,并通过Facebook禁用其中一些违反了我们的社区标准。我们的调查将此活动与孟加拉国的两个非营利组织联系在一起:唐的团队(也称为国家辩护)和犯罪研究和分析基金会(CRAF)。他们似乎正在跨越多个互联网服务。

唐的团队和CRAF合作在Facebook上举报了虚假违反我们的社区标准的人,包括涉嫌假冒、侵犯知识产权、裸体和恐怖主义。他们还入侵了用户的账户和页面,并将其中一些被盗账户用于自己的操作目的,包括放大其内容。至少有一次,在一个页面管理员的帐户被攻破后,他们删除了剩余的管理员来接管并禁用页面。我们的调查表明,这些有针对性的黑客尝试很可能是通过一系列非平台策略进行的,包括电子邮件和设备被盗,以及滥用我们的账户恢复过程。

为了破坏这次行动,我们删除了这次行动背后的账户和页面。我们与我们的行业合作伙伴分享了关于这个组的信息,这样他们也可以发现并停止这种活动。我们鼓励人们保持警惕把圣Eps来保护他们的账户,避免点击可疑链接和下载来自不可信来源的软件,这些软件会危害他们的设备和存储在设备上的信息。

越南

APT32是一个总部设在越南的高级持续威胁行动者,其目标是当地和国外的越南人权活动人士、包括老挝和柬埔寨政府在内的各种外国政府、非政府组织、新闻机构以及信息技术、酒店、农业和商品、医院、零售、汽车行业和移动服务都带有恶意软件。我们的调查表明,这次活动与CyberOne集团有关,这是一家越南的IT公司(也被称为CyberOne Security, CyberOne Technologies, Hành Tinh company Limited, Planet and Diacauso)。

正如我们的行业合作伙伴之前报道的,APT32已经在互联网上部署了广泛的对抗策略。几年来,我们一直在追踪并采取行动对付这个团伙。我们最近的调查分析了一些著名的战术、技术和程序(TTPs),包括:

  • 社会工程:APT32在互联网上创建了虚构的人物,伪装成活动家和商业实体,或者在联系目标人群时使用浪漫的诱饵。这些努力通常涉及在其他互联网服务上为这些虚假的角色和虚假的组织创建后盾,以便它们看起来更合法,并能够经受住包括安全研究人员在内的审查。他们的一些网页被设计来吸引特定的追随者,以便以后进行网络钓鱼和恶意软件攻击。
  • 恶意的Play Store应用程序:除了使用Pages, APT32还诱使目标通过谷歌Play Store下载Android应用程序,该商店拥有广泛的权限,允许对人们的设备进行广泛的监控。
  • 恶意软件传播:APT32受到影响的网站,并创建自己的网站,包括混淆恶意JavaScript作为其浇水孔攻击的一部分,以跟踪目标浏览器信息。浇水孔攻击是当黑客感染经常被预期目标经常访问的网站来损害他们的设备时。作为其中的一部分,该组构建了能够在发送执行恶意代码的定制有效载荷之前检测目标使用(Windows或Mac)的操作系统类型的自定义恶意软件。与此组的过去的活动一致,APT32也使用链接到文件共享服务,其中他们托管了用于点击和下载的目标的恶意文件。最近,他们使用缩短链接来提供恶意软件。最后,该组依赖于Microsoft Windows应用程序中的动态链接库(DLL)侧加载攻击。他们开发了恶意文件exe,rar,rtfiso格式,并交付包含文本中恶意链接的良性词文档。

我们调查和破坏的最新活动具有资源充足和持续行动的特点,一次集中于多个目标,同时模糊他们的来源。我们与业内同行分享了我们的发现,包括YARA规则和恶意软件签名,这样他们也可以检测和停止这种活动。为了破坏这次行动,我们屏蔽了相关的域名,删除了该组织的账户,并通知了我们认为被APT32盯上的人。

威胁指标:

散列

768510 fa9eb807bba9c3dcb3c7f87b771e20fa3d81247539e9ea4349205e39eb 69730 f2c2bb9668a17f8dfa1f1523e0e1e997ba98f027ce98f5cbaa869347383

tocaoonline(。com qh2020[。org tinmoivietnam[。com nhansudaihoi13[。org chatluongvacuocsong[。] vn tocaoonline[。org facebookdeck[。] com thundernews。org

雅苒签名

规则APT32_goopdate_installer

规则APT32_goopdate_installer{元:参考= " //www.becoolmom.com/news/2020/12/taking-action-against-hackers-in-bangladesh-and-vietnam/ "作者= =“Facebook”描述“检测APT32安装side-loaded goopdate.dll”示例=“69730 f2c2bb9668a17f8dfa1f1523e0e1e997ba98f027ce98f5cbaa869347383”字符串:$ s0 = {68 ? ?? ?? ?? ?57 A3 ? ?? ?? ?? ?Ff d6 33 05 ??? ? ?? ?? } $s1 = "GetProcAddress" $s2 = { 8B 4D FC ?? ?? 0F B6 51 0C ?? ?? 8B 4D F0 0F B6 1C 01 33 DA } $s3 = "FindNextFileW" $s4 = "Process32NextW" condition: (pe.is_64bit() or pe.is_32bit()) and all of them }

规则APT32_osx_backdoor_loader

rule APT32_osx_backdoor_loader {meta: reference = " //www.becoolmom.com/news/2020/12/taking-action-against-hackers-in-bangladesh-and-vietnam/ " author = " Facebook " description = "在OSX上检测APT32后门加载器" sample = "768510fa9eb807bba9c3dcb3c7f87b771e20fa3d81247539e9ea4349205e39eb" string:$ a1 = {00 D2 44 8 0 04 f 44 88 C0 C0 E8 07年08年D0 88 44 0 f FF 48 FF C1 48 83 F9 44 88 C2} $ a2 ={41 0 10 04 07年0 f 57 84 05 A0 FE FF FF 41 0 f 11 04 07 48 83 C0 10 48 83 F8 10 75} / /加密数据$ e1 = {CA CF 3 e F2达43 E6 D1 3 D5 6 c D4 23 AE F1 B2} / /解码filepath下降:/ tmp /面板$ e2 =”MlkHVdRbOkra9s + G65MAoLga340t3 + zj / u8LPfP3hig = " / /解码导出API名称“ArchaeologistCodeine”$ e3 = {5 69 98 0 e 6 c 4 b 5 c 69 7 e 19 34 3 b C3 07 CA 13} / /解码“ifconfig - l”e4美元=“1 sib4hfpurqjpxipecnxxtpiu3fxofahmx / + 9 mevv9m + h1ngV7T5WUP3b0zsg0Qd”/ /解码出口API PlayerAberadurtheIncomprehensible / /解码export func names $e5 = "_ArchaeologistCodeine" $e6 = "_PlayerAberadurtheIncomprehensible" condition: ((uint32(0) == 0xfeedface or uint32be(0) == 0xfeedface) or (uint32(0) == 0xfeedfacf or uint32be(0) == 0xfeedfacf)) and ( 2 of ($e*) or all of ($a*) ) }


为了帮助个性化内容,定制和衡量广告,并提供更安全的体验,我们使用cookie。通过点击或浏览本网站,您同意允许我们通过cookies收集Facebook上或外的信息。了解更多信息,包括可用控件:饼干的政策