Facebook 母公司 Meta 披露,它对南亚的两项间谍活动采取了行动,这些活动利用其社交媒体平台向潜在目标分发恶意软件。

第一组活动是该公司所描述的“持久且资源充足”的活动,由一个黑客组织进行,该组织以 Bitter APT(又名 APT-C-08 或 T-APT-17)的绰号跟踪,针对新西兰的个人,印度、巴基斯坦和英国。

Meta在其季度对抗威胁报告中表示:“Bitter 使用各种恶意策略通过社交工程针对在线用户,并用恶意软件感染他们的设备。” “他们混合使用链接缩短服务、恶意域、受感染的网站和第三方托管服务提供商来分发他们的恶意软件。”

这些攻击涉及威胁参与者在平台上创建虚构角色,伪装成有吸引力的年轻女性,以期与目标建立信任并引诱他们点击部署恶意软件的虚假链接。

但有趣的是,攻击者说服受害者通过 Apple TestFlight下载 iOS 聊天应用程序,这是一种合法的在线服务,可用于测试应用程序并向应用程序开发人员提供反馈。

“这意味着黑客不需要依靠漏洞来向目标提供自定义恶意软件,并且可以利用苹果官方服务来分发应用程序,以使其看起来更合法,只要他们说服人们下载 Apple Testflight 和诱骗他们安装聊天应用程序,”研究人员说。

虽然该应用程序的确切功能尚不清楚,但怀疑它已被用作一种社会工程策略,作为一种通过为此目的精心策划的聊天媒体来监督该活动的受害者的手段。

此外,Bitter APT 运营商使用了以前未被记录的名为 Dracarys 的 Android 恶意软件,该恶意软件滥用操作系统的访问权限来安装任意应用程序、录制音频、捕获照片并从受感染的手机中收集敏感数据,例如通话记录、联系人、文件、短信、地理位置和设备信息。

Dracarys 是通过伪装成 YouTube、Signal、Telegram 和 WhatsApp 的木马化滴管应用程序交付的,这延续了攻击者越来越多地部署伪装成合法软件的恶意软件以侵入移动设备的趋势。

此外,作为对抗性适应的迹象,Meta 指出该组织通过在聊天线程上发布损坏的链接或恶意链接的图像来反击其检测和阻止工作,要求收件人在浏览器中输入链接。

Bitter 的起源是一个谜,没有多少指标可以最终与特定国家联系起来。据信它在南亚以外地区开展业务,最近将重点扩大到打击孟加拉国的军事实体。

Meta打击透明部落

第二个被 Meta 破坏的集体是透明部落(又名 APT36),这是一种高级持续性威胁,据称位于巴基斯坦以外,并且有使用定制恶意工具针对印度和阿富汗政府机构的记录。

上个月,思科 Talos将攻击者归咎于针对印度各教育机构学生的持续网络钓鱼活动,这标志着其典型的受害者模式背离了包括平民用户在内的典型受害者模式。

最新的一系列入侵表明了一种合并,其中包括军事人员、政府官员、人权和其他非营利组织的雇员,以及位于阿富汗、印度、巴基斯坦、沙特阿拉伯和阿联酋的学生

这些目标是使用虚假角色进行社会工程的,他们冒充合法和虚假公司的招聘人员、军事人员或希望建立浪漫关系的有吸引力的年轻女性,最终诱使他们打开托管恶意软件的链接。

下载的文件包含 LazaSpy,这是一款名为XploitSPY的开源 Android 监控软件的修改版本,同时还利用非官方的 WhatsApp、微信和 YouTube 克隆应用程序来传播另一种名为 Mobzsar(又名 CapraSpy)的商品恶意软件。

这两款恶意软件都具有收集通话记录、联系人、文件、短信、地理位置、设备信息和照片的功能,并启用设备的麦克风,使其成为有效的监控工具。

研究人员说:“这个威胁行为者是全球趋势的一个很好的例子 [...],低复杂度的组织选择依赖公开可用的恶意工具,而不是投资于开发或购买复杂的攻击能力。”

该公司表示,这些“基本的低成本工具 [...] 需要较少的技术专业知识来部署,但仍然可以为攻击者带来成果,”该公司表示,并补充说,“随着进入门槛的降低,黑客和监视能力的访问变得更加民主化。"

原文来源:网络研究院