Facebook關(guān)閉了APT32在網(wǎng)絡(luò)攻擊中使用的賬戶

Facebook已經(jīng)關(guān)閉了其平臺上的幾個賬戶，越南的APT32組織和一個位于孟加拉國的不知名的威脅組織，這兩個網(wǎng)絡(luò)犯罪集團利用這些賬戶和頁面發(fā)起了釣魚攻擊和惡意軟件攻擊。

這家社交媒體巨頭表示，現(xiàn)在已經(jīng)禁止了這兩個團伙濫用平臺、傳播惡意軟件和攻擊其他賬戶的行為。一項新的分析稱，這兩個團伙沒有任何的關(guān)系，他們利用了"完全不同"的策略來針對Facebook用戶進行攻擊。

安全政策主管Nathaniel Gleicher和Facebook網(wǎng)絡(luò)威脅情報經(jīng)理Mike Dvilyanski在周四的一篇文章中說，"來自越南團伙攻擊行動主要在于向目標發(fā)送惡意軟件，而來自孟加拉國的攻擊行動則專注于通過跨平臺來攻擊賬戶，使目標賬戶和頁面從Facebook上刪除"。

APT32，又稱OceanLotus，是一個有越南背景的的高級持續(xù)性威脅(APT)組織，至少從2013年就開始運作了。最近，又發(fā)現(xiàn)該組織與針對亞洲Android用戶的間諜活動有關(guān)(在4月份被卡巴斯基稱為PhantomLance的攻擊)。

Facebook表示，APT32利用平臺主要是針對越南的人權(quán)活動家，以及多個外國政府(包括老撾和柬埔寨的政府)、非政府組織、新聞機構(gòu)和一些企業(yè)。

該威脅組織創(chuàng)建了Facebook頁面和賬戶，以便通過網(wǎng)絡(luò)釣魚和惡意軟件攻擊的方式來鎖定特定的用戶。在這里，APT23使用了各種社會工程學(xué)攻擊方式，冒充活動家或商業(yè)實體，來使得自己的身份顯得更加可信。

在這些頁面的偽裝下，APT32會說服目標通過合法的Google Play商店下載安卓應(yīng)用，而這些應(yīng)用又有各種權(quán)限，所以可以對受害者的設(shè)備進行監(jiān)控。Threatpost已經(jīng)聯(lián)系了Facebook，希望進一步了解這里所使用的具體應(yīng)用。谷歌發(fā)言人也向Threatpost證實，這些攻擊中使用的應(yīng)用已經(jīng)從Google Play中刪除。

除了手機應(yīng)用之外，APT32還會利用這些賬戶來欺騙受害者點擊被入侵了的網(wǎng)站--或者是他們自己創(chuàng)建的網(wǎng)站，通過加入惡意(混淆)的JavaScript，入侵受害者設(shè)備然后進行水坑攻擊。作為這種攻擊的一部分，APT32還開發(fā)了特定的惡意軟件，它將檢測受害者的操作系統(tǒng)(Windows或Mac)，然后向他們發(fā)送一個定制的payload，然后執(zhí)行惡意代碼。

Facebook還觀察到APT32在其攻擊中使用了以前使用過的策略--例如使用文件共享服務(wù)的鏈接，包括短鏈接，并在這些服務(wù)中托管惡意文件然后受害者會點擊并進行下載。

"最后，該團伙還使用了微軟Windows應(yīng)用程序中的動態(tài)鏈接庫(DLL)進行側(cè)道攻擊，"Facebook說。"他們開發(fā)了.exe、.rar、.rtf和.iso格式的惡意文件，還制作了包含惡意鏈接文本的Word文檔。"

根據(jù)Facebook的說法，"我們的調(diào)查結(jié)果將這一攻擊活動與CyberOne集團聯(lián)系起來，這是越南的一家IT公司(也稱為CyberOne Security、CyberOne Technologies、Hành Tinh Company Ltd.、Planet和Diacauso)。"

Threatpost已經(jīng)聯(lián)系到CyberOne集團，希望其發(fā)表評論;并且還聯(lián)系到了Facebook，詢問將這家公司與該活動聯(lián)系起來的具體證據(jù)。

同時，總部設(shè)在孟加拉國的黑客攻擊者以當(dāng)?shù)氐纳鐣顒蛹?、記者和少?shù)宗教群體為目標，攻擊他們的Facebook賬戶。Facebook聲稱，Don's Team(又稱Defense of Nation)和犯罪研究與分析基金會(CRAF)，他們在這項攻擊活動中發(fā)現(xiàn)了與孟加拉國的這兩個非營利組織之間的聯(lián)系。

該公司稱，這些團伙一塊舉報Facebook用戶違反了社區(qū)標準的行為--如涉嫌冒充、侵犯知識產(chǎn)權(quán)、裸露和恐怖主義等行為。此外，這些團伙據(jù)稱還入侵了Facebook用戶的賬戶和頁面，并達到自己的攻擊目的。

"曾經(jīng)有多次，頁面的管理員賬戶被入侵后，他們刪除了其余管理員，接管并禁用了該頁面。"Facebook表示。

Threatpost聯(lián)系了Don's Team和CRAF，希望他們能夠做進一步的評論。Don's Team發(fā)言人告訴Threatpost，"最近對Don's Team的指控完全是誤導(dǎo)的。"

"我們與最近孟加拉國的關(guān)于Facebook的攻擊無關(guān)，"該發(fā)言人說。"Don's Team是一個社交媒體認識和咨詢平臺。我們幫助人們解決各種與Facebook相關(guān)的問題。由于Facebook在孟加拉國沒有任何子公司，用戶會遇到許多與Facebook帳戶，頁面或者組有關(guān)的問題。因此，作為一個社交媒體咨詢團隊，當(dāng)他們的帳戶被黑客攻擊而不能訪問賬戶時，我們來幫助這些用戶。當(dāng)賬戶被禁用時，按照Facebook的社區(qū)標準，我們幫助受害者恢復(fù)他們的賬戶。"

Facebook警告說，以前已經(jīng)刪除了攻擊者使用的平臺的賬號，這些行為背后的攻擊者是一個"狡猾頑固的對手"。

Gleicher和Dvilyanski說："我們將盡可能地繼續(xù)分享我們的發(fā)現(xiàn)，以便于讓人們看到我們所發(fā)現(xiàn)的威脅攻擊，并采取措施來增強他們的賬戶安全"。

本文翻譯自：https://threatpost.com/facebook-accounts-apt32-cyberattacks/162186/