在此之前,我们分享了研究人员针对两个不同的巴勒斯坦黑客组织所做的工作。一个与预防性安全服务(PSS)相关的组织和一个被称为“AridViper”的威胁行为者。我们消除了他们使用其基础设施滥用互联网服务平台来传播恶意软件和危害用户个人帐户的能力。Facebook威胁情报分析师和安全专家致力于发现和阻止各种威胁,包括网络间谍活动、网络攻击以及民族国家行为者和其他团体对我们平台的黑客攻击。作为这些努力的一部分,我们的团队通过阻止网络攻击者的入侵、通知人们是否应该采取措施保护他们的帐户、公开分享我们的发现以及继续提高我们产品的安全性来定期打击网络犯罪分子。我们将分享关于两个网络间谍活动的最新研究。其中一个针对巴勒斯坦的国内用户,而另一个针对巴勒斯坦和叙利亚,其次是土耳其、伊拉克、黎巴嫩和利比亚。为了打击这两个网络犯罪活动,我们禁用了他们的帐户,发布了恶意软件哈希,阻止了与他们的活动相关的域,并提醒可能受影响的用户帮助他们保护他们的帐户和个人信息。安全。我们与包括防病毒社区在内的行业合作伙伴共享信息,以便他们也能检测并阻止此活动,从而加强我们对互联网上这些黑客组织的响应。我们鼓励我们的用户保持警惕并采取措施保护他们的帐户,避免点击可疑链接和从不受信任的来源下载可能损害他们的设备和存储在其中的信息的软件。这些网络攻击背后的黑客非常难对付,我们知道他们会根据我们的执行情况改变策略。然而,我们也在不断改进我们的检测系统,并与安全社区的其他团体合作,继续打击这些威胁行为者。在可能的情况下,我们将继续分享我们的发现,以便人们了解我们观察到的威胁,并采取措施加强他们账户的安全。PSS相关网络活动起源于约旦河西岸,主要针对巴勒斯坦领土和叙利亚,其次是土耳其、伊拉克、黎巴嫩和利比亚。它依靠社会工程技术来诱骗人们点击恶意链接并在他们的设备上安装恶意软件。我们的调查发现,该活动与巴勒斯坦民族权力机构的内部情报组织预防安全局有联系。这个持续的威胁行为者专注于广泛的目标,包括记者、法塔赫领导的政府的反对者、人权活动家和军事团体,包括叙利亚反对派和伊拉克军方。他们使用自己的低复杂性恶意软件伪装成安全聊天应用程序并在Internet上广泛分发。我们的分析揭示了此活动中涉及的一些技术、战术和程序组件:Android恶意软件:这组自定义Android恶意软件功能相对简单,该恶意软件伪装成安全聊天应用程序,一旦安装,它就会收集信息,例如作为设备元数据(例如制造商、操作系统版本、IMEI)、通话记录、位置、联系人和短信。在极少数情况下,它还包括键盘记录功能——记录设备上的每一次击键。收集后,恶意软件会将数据上传到移动应用程序开发平台Firebase。除了他们的自定义恶意软件外,该组织还利用了公开可用的Android恶意软件SpyNote,它具有更多功能,包括远程访问设备和监控通话的能力。Windows恶意软件:该组织偶尔会为Windows部署公开可用的恶意软件,包括该地区常用的NJRat和HWorm。他们还将Windows恶意软件捆绑在安装包中,作为他们自己的诱饵应用程序,供记者提交与人权相关的文章进行发表。此应用程序没有法律功能。社会工程技术:该组织使用虚假和泄露的账户来制造他们主要是年轻女性的外表,但也有哈马斯、法塔赫、各种军事团体的支持者、记者和活动家,他们都以目标人群为目标来建立信任并欺骗他们安装恶意软件。他们的一些页面旨在吸引特定的关注者,以供以后进行社会工程和恶意软件攻击。威恐知识别AndroidC2域名称:news-fbcb4.firebaseio[.]comnews-fbcb4.appspot[.]comchaty-98547.firebaseio[.]comchaty-98547.appspot[.]comjamila-c8420.firebaseio[.]comjamila-c8420.appspot[.]comshowra-22501.firebaseio[.]comshowra-22501.appspot[.]comgoodwork-25869.firebaseio[.]comgoodwork-25869.appspot[.]comadvance-chat-app.firebaseio[.]comadvance-chat-app.appspot[.]comfiltersapp-715ee.firebaseio[.]comfiltersapp-715ee.appspot[.]comhumanrights-1398b.firebaseio[.]comhumanrights-1398b.appspot[.]comjamilabouhaird-c0935.firebaseio[.]comjamilabouhaird-c0935.appspot[.]comhotchat-f0c0e.appspot[.]comhotnewchat.appspot[.]comAndroid哈希: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*80672273190de5de3d41577f5d66c5afcdfeade09213154cb010e8ac4c50a47f4b218c133b5c7d059f5aff4c2820486e0ae511966e8944ccafb69e61139d9107a87f58133c43b8586931faf620c38c1824057d66d614SpyNoteC2:lion20810397.ddns[.]netWindows恶意软件C2域名:camera.dvrcam[.]infofacebooks.ddns[.]megoogle.loginto[.]meWindows恶意软件哈Greek:05320c7348c156f0a98907d2b1527ff080eae36437d58735f2822d9f42f5d273AndroidMalwareLinks:app-chat1.atwebpages[.]comapp-showchat.atwebpages[.]comshowra-chat.atwebpages[.]comThiscampaignoriginatedinPalestine同一地区的个人用户,包括政府官员、法塔赫政党成员、学生团体和安全部队我们的调查将此活动与已知的高级持续网络威胁组织AridViper联系起来。AridViper利用庞大的基础设施来支持其运营,包括数百个托管iOS和Android恶意软件、试图通过网络钓鱼窃取凭据或充当命令和控制服务器的网站。他们似乎跨多种互联网服务运作,在有针对性的网络间谍活动中结合使用社会工程、网络钓鱼站点以及不断发展的Windows和Android恶意软件。我们与业内同行和安全研究人员分享了威胁指标,我们的分析揭示了此次活动中涉及的一些技术、政策和程序组件:自定义iOS监控软件:AridViper使用自定义iOS监控软件,这是尚未报告的之前,这也反映了他们战术的转变。我们称这个iOS组件为Phenakite,因为它很稀有,它的名字来自希腊语Phenakos,意思是欺骗。安装Phenakite需要诱骗人们安装移动配置文件。这允许在设备上安装特定于设备的iOS应用程序签名版本。安装后,该恶意软件需要越狱才能提升其权限,以检索无法通过标准iOS权限请求访问的敏感用户信息。这是通过公开可用的Osiris越狱实现的,该越狱利用Sock端口漏洞,这两个漏洞都捆绑在恶意iOSAppStorePackages(IPA)中。该应用程序使用开源实时聊天代码来实现合法的应用程序功能,还可以引导人们访问Facebook和iCloud的网络钓鱼页面,以窃取他们使用这些服务的凭据。不断发展的Android和Windows恶意软件:AridViper使用的Android工具与之前报道的FrozenCell和VAMP恶意软件有许多相似之处。AridViper部署的Android恶意软件要求人们在他们的设备上安装来自第三方的应用程序,该组织使用各种令人信服的、攻击者控制的网站来制造这些应用程序是合法的印象。AridViper最近的活动还使用了一个名为Micropsia的恶意软件家族的变体,该变体之前与该威胁参与者有关。恶意软件传播:Android和iOS恶意软件的传播都涉及社会工程技术。Android恶意软件通常托管在看起来令人信服的攻击者控制的网络钓鱼站点上。在撰写本文时,我们发现了41个此类网站。此前已发现iOS恶意软件来自第三方中国应用开发网站。在我们与行业合作伙伴分享我们的发现导致多个开发人员证书被吊销后,AridViper分发Phenakite的能力被中断。入侵过程
