Facebook母公司Meta透露,它已经对南亚的两个利用其社交媒体平台向潜在目标分发恶意软件的攻击组织采取了反制措施。第一批BitterAPT组织的行动在Meta中被描述为持续且资源丰富,并由一个名为BitterAPT(也称为APT-C-08或T-APT-17),针对新西兰、印度、巴基斯坦和英国的个人。Meta在其《季度对抗性威胁报告》中表示,Bitter使用各种恶意策略来攻击在线用户,用恶意软件感染他们的设备。该组织混合使用链接缩短服务、恶意域、受感染的网站和第三方托管提供商来分发他们的恶意软件。这些攻击者会在平台上创建虚构人物,伪装成迷人的年轻女性,以建立与目标的信任,诱使目标点击带有恶意软件的虚假链接,攻击者说服受害者通过以下方式下载iOS聊天AppleTestFlight应用程序,TestFlight是一项合法的在线服务,可用于测试应用程序并向应用程序开发人员提供反馈。研究人员表示,这种行为意味着黑客无需依靠漏洞向目标投放自定义恶意软件,只要攻击者说服人们下载AppleTestflight并诱使他们安装他们的聊天应用程序,就可以使用Apple的官方服务来分发恶意软件。申请,使这种欺诈行为合法化。虽然该应用程序的功能尚不清楚,但它被怀疑被用作社会工程骗局,通过专门为此目的策划的聊天媒体来监控活动的受害者。此外,BitterAPT运营商使用了一种名为Dracarys的全新Android恶意软件,它滥用操作系统的可访问权限来安装任意应用程序、录制音频、捕获照片并从受感染的手机中获取敏感数据,例如通话记录、联系人、文件、短信、地理位置和设备信息。Dracarys通过冒充YouTube、Signal、Telegram和WhatsApp的木马传播,延续了攻击者倾向于部署伪装成合法软件的恶意软件来破坏移动设备的趋势。此外,作为对抗性适应的标志,Meta指出,该组织通过在聊天线程中发布损坏的链接或恶意链接的图片来对抗其检测和阻止努力,要求收件人将链接键入他们的浏览器。苦酒的起源是个谜,它的行为特征让人很难将它与任何一个特定的国家联系起来。该组织被认为在南亚开展活动,最近将其重点扩大到打击孟加拉国的军事实体。TransparentTribeMeta打击的第二个组织是TransparentTribe(又名APT36),这是一个据称位于巴基斯坦的APT组织,有使用定制恶意工具攻击印度和阿富汗政府机构的记录。最新的一连串入侵表明该组织是一个集团,目标是军事人员、政府官员、人权和其他非营利组织的雇员,以及阿富汗、印度、巴基斯坦、沙特阿拉伯和阿拉伯联合酋长国的学生。攻击者利用这些虚假身份冒充企业招聘人员、军人或希望建立浪漫关系的年轻女性进行社会欺骗,最终引诱受害者打开充满恶意软件的链接。下载的文件包含LazaSpy,这是一种名为XploitSPY的开源Android间谍软件的修改版本,同时还利用非官方的WhatsApp、微信和YouTube克隆应用程序来传播另一种名为Mobzsar(又名CapraSpy)的恶意软件。这两种恶意软件都具有收集通话记录、联系人、文件、短信、地理位置、设备信息和照片的功能,并启用设备的麦克风,使其成为有效的监控工具。研究人员表示,该组织的行动反映了全球APT攻击的趋势,即低级别组织更多地依赖公开可用的恶意工具,而不是投资于开发或购买复杂的攻击能力。这些低成本的工具不需要太多的专业知识就可以使用,这大大降低了攻击的门槛,黑客和监视将变得更加普遍。
