Facebook关闭了APT32在网络攻击中使用的账户

Facebook已经关闭了其平台上的多个账户，越南的APT32组织和孟加拉国的一个未知威胁组织，两个利用这些账户和页面的网络犯罪组织成为网络钓鱼和恶意软件的目标攻击。这家社交媒体巨头表示，它现在已经禁止这两个团体滥用该平台、传播恶意软件和攻击其他账户。根据一项新的分析，这两个没有任何关系的组织使用“完全不同”的策略来瞄准Facebook用户。Facebook安全政策主管NathanielGleicher和网络威胁情报经理MikeDvilyanski在周四的一篇帖子中表示，“越南组织的活动重点是向其目标提供恶意软件，而孟加拉国的活动则侧重于跨平台攻击帐户，导致目标帐户和页面从Facebook中删除”。APT32，也称为OceanLotus，是一个具有越南背景的高级持续威胁(APT)组织，至少从2013年开始运作。最近，该组织与针对亚洲Android用户的间谍活动有关（该攻击被称为4月卡巴斯基的PhantomLance）。Facebook表示，APT32利用该平台主要针对越南的人权活动家，以及各种外国政府（包括老挝和柬埔寨的政府）、非政府组织、新闻机构和一些企业。该威胁组织创建了Facebook页面和帐户，以通过网络钓鱼和恶意软件攻击针对特定用户。在这里，APT23使用各种社会工程攻击方法来冒充活动家或商业实体，使其身份更加可信。在这些页面的伪装下，APT32会诱使目标通过合法的GooglePlay商店下载Android应用程序，而这些应用程序具有各种权限，因此可以监控受害者的设备。Threatpost已联系Facebook以了解有关此处使用的特定应用程序的更多信息。谷歌发言人还向Threatpost证实，这些攻击中使用的应用程序已从GooglePlay中删除。除了移动应用程序之外，APT32还将使用这些帐户诱骗受害者点击受感染的网站-或者他们自己创建的网站，方法是添加恶意（混淆）JavaScript，危及受害者的设备，然后进行水坑攻击。作为这次攻击的一部分，APT32还开发了特定的恶意软件，可以检测受害者的操作系统（Windows或Mac），向他们发送自定义负载，然后执行恶意代码。Facebook还观察到APT32在其攻击中使用了以前使用过的策略——例如使用来自文件共享服务的链接，包括短链接，以及在这些服务中托管恶意文件，受害者随后会点击并下载这些文件。“最后，该组织还使用MicrosoftWindows应用程序中的动态链接库(DLL)进行边信道攻击，”Facebook表示。“他们开发了.exe、.rar、.rtf和.iso格式的恶意文件，以及包含恶意链接文本的Word文档。”据Facebook称，“我们的调查结果将此活动与Cyber??OneGroup联系起来，这是越南的一家IT公司（也称为Cyber??OneSecurity、Cyber??OneTechnologies、HànhTinhCompanyLtd.、Planet和Diacauso）。”Threatpost已联系Cyber??OneGroup征求意见；还向Facebook索要将公司与活动联系起来的具体证据。与此同时，驻扎在孟加拉国的黑客通过攻击当地活动人士、记者和宗教少数群体的Facebook帐户，将目标锁定在他们身上。Facebook声称Don'sTeam（也称为DefenseofNation）和犯罪研究与分析基金会(CRAF)在该活动中发现了与这两家孟加拉国非营利组织的联系。该公司表示，这些组织共同报告Facebook用户违反社区标准的行为，例如涉嫌假冒、侵犯知识产权、裸体和恐怖主义。此外，据称这些团伙出于自己的目的侵入了Facebook用户的帐户和页面。Facebook表示：“在多起事件中，页面的管理员帐户遭到入侵，他们删除了剩余的管理员，接管并禁用了该页面。”Threatpost联系了Don的团队和CRAF以征求进一步的评论。Don'sTeam的一位发言人告诉Threatpost，“最近针对Don'sTeam的指控完全是误导。“我们与最近在孟加拉国对Facebook的攻击无关，”该发言人说。“Don'sTeam是一个社交媒体宣传和建议平台。我们帮助人们解决各种Facebook相关问题。由于Facebook在孟加拉国没有任何子公司，用户面临许多与Facebook帐户、页面或群组相关的问题。因此，作为一个社交媒体咨询团队，我们会在这些用户的帐户被黑客入侵而无法访问该帐户时为他们提供帮助。当帐户被禁用时，根据Facebook的社区标准，我们会帮助受害者恢复他们的帐户。Facebook警告说，它之前已经从攻击者使用的平台上删除了账户，攻击者是“狡猾而顽固的对手”的幕后黑手。Gleicher和Dvilyanski表示：“我们将继续尽可能多地分享我们的发现，以便让人们看到我们发现的威胁攻击，并采取措施加强他们的账户安全”。本文翻译自：https://threatpost.com/facebook-accounts-apt32-cyberattacks/162186/