在巴勒斯坦采取行动打击黑客

作者:Mike Dvilyanski(网络间谍调查主管)和David Agranovich(威胁破坏主管

Today, we’re sharing actions we took against two separate groups of hackers in Palestine — a network linked to the Preventive Security Service (PSS) and a threat actor known as Arid Viper — removing their ability to use their infrastructure to abuse our platform, distribute malware and hack people’s accounts across the internet. To the best of our knowledge, this is the first public reporting of this PSS activity.

Facebook威胁情报分析师和安全专家致力于找到和阻止各种威胁,包括Cyber​​ Espionage运动,影响操作并由国家行动者和其他团体的平台攻击我们的平台。作为这些努力的一部分,我们的团队通过禁用它们,使他们能够采取措施保护他们的账户,公开分享我们的调查结果并继续提高产品的调查结果来定期扰乱对抗的行动。

今天,我们将我们的最新研究分享到两种未连接的网络间谍活动。其中一个主要针对巴勒斯坦的国内受众。另一个集群在巴勒斯坦领土和叙利亚的受众有针对性的观众,以及土耳其,伊拉克,黎巴嫩和利比亚的较小程度。

为了扰乱这两个操作,我们删除了他们的帐户,发布了恶意软件哈希,被阻止与他们的活动相关的域名,并提醒我们认为的人被这些群体所针对的人,以帮助他们确保他们的账户。我们与我们的行业合作伙伴共享信息,包括反病毒界,所以他们也可以检测和停止这项活动,加强对互联网上这些群体的集体回应。我们鼓励人们保持警惕采取措施保护他们的账户,避免点击可疑链接和下载来自不可信来源的软件,这些软件会危害他们的设备和存储在设备上的信息。

这些行动背后的组织是顽固的对手,我们知道他们会根据我们的强制执行改进他们的策略。然而,我们不断改进我们的检测系统,并与安全领域的其他团队合作,继续使这些威胁行动者难以不被发现。我们将在可能的情况下继续分享我们的发现,这样人们就会意识到我们看到的威胁,并可以采取措施加强他们账户的安全。

这是我们发现的

PSS联系组

这一活动起源于西岸,集中于巴勒斯坦领土和叙利亚,以及土耳其、伊拉克、黎巴嫩和利比亚。它依靠社会工程来诱骗人们点击恶意链接,并在他们的设备上安装恶意软件。我们的调查发现它与巴勒斯坦权力机构的内部情报组织——预防性安全局有关联。

这种持久的威胁演员专注于广泛的目标,包括记者,对反对法塔赫导向的政府的人,人权活动家和军事团体,包括叙利亚反对派和伊拉克军队。除了在Internet上公开可用的恶意软件工具,它们还使用自己的低精致恶意软件作为安全聊天应用程序。

我们的调查分析了许多值得注意的策略,技术和程序(TTPS):

  • Android恶意软件:该集团的自定义内置的Android恶意软件具有相对简单的功能,并且需要一组有限的设备级权限,这可能有助于它在大多数防病毒检测系统下保持雷达。这种恶意软件伪装成安全聊天应用程序。一旦安装,它收集了设备元数据(例如制造商,OS版本,IMEI),呼叫日志,位置,联系人和短信等信息。在极少数情况下,它还包含键盘记录器功能 - 一种能够在设备上创建的每个击键。收集后,恶意软件将将数据上传到Firebase,这是一个移动应用程序开发平台。除了定制的恶意软件外,该组还使用可公开可用的Android恶意软件斯太基这具有更多功能,包括远程设备访问和监视呼叫的能力。
  • Windows Malware:此组偶尔会部署用于Windows的公开可用恶意软件,包括NJRat和HWorm,该地区常用。他们还将Windows恶意软件捆绑在安装包中,作为他们自己的诱饵应用程序,供记者提交与人权有关的文章发表。这个应用程序没有合法的功能。
  • 社会工程:该组织利用虚假和被盗账户创建虚拟人物,主要伪装成年轻女性,也伪装成哈马斯、法塔赫、各种军事组织、记者和活动人士,与他们的目标人群建立信任,并骗他们安装恶意软件。他们的一些网页是为了吸引特定的追随者而设计的,以便日后进行社交工程和针对恶意软件的攻击。为了吸引读者,这些佩奇贴出了一些表情包,批评俄罗斯在中东的外交政策、俄罗斯军事承包商瓦格纳集团(Wagner Group)及其在叙利亚和利比亚的参与,以及阿萨德政府。

威胁指标:

Android C2域名

news-fbcb4.firebaseio(。com news-fbcb4.appspot[。com chaty - 98547. firebaseio[。com chaty - 98547. appspot[。com jamila-c8420.firebaseio[。com jamila-c8420.appspot[。com showra - 22501. firebaseio[。com showra - 22501. appspot[。com goodwork - 25869. firebaseio[。com goodwork - 25869. appspot[。com advance-chat-app.firebaseio[。com advance-chat-app.appspot[。com filtersapp - 715 ee.firebaseio[。com filtersapp - 715 ee.appspot[。com人权- 1398 b.firebaseio[。com人权- 1398 b.appspot[。com jamilabouhaird-c0935.firebaseio[。com jamilabouhaird-c0935.appspot[。com hotchat-f0c0e.appspot[。]com hotnewchat.appspot[.]com

Android哈希

aeb0c38219e714ab881d0065b9fc1915ba84ad5b86916a82814d056f1dfaf66d 3c21c0f64ef7b606abb73b9574d0d66895e180e6d1cf2ad21addd5ade79b69fb d2787aff6e827809b836e62b06cca68bec92b3e2144f132a0015ce397cf3cac2 2580f7afb4746b223b14aceab76bd8bc2e4366bfa55ebf203de2715176032525 f7ea82e4c329bf8e29e9da37fcaf35201dd79c2fc55cc0feb88aedf0b2d26ec2 0540051935145fb1e3f9361ec55b62a759ce6796c1f355249805d186046328dc 03de278ec4c4855b885520a377f8b1df462a1d8a4b57b492b3b052aafe509793 fe77e052dc1a8ebea389bc0d017191e0f41d8e47d034c30df95e3d0dc33cfe10 6356d55c79a82829c949a46c762f9bb4ca53da01a304b13b362a8a9cab20d4d2 9a53506c429fa4ff9113b2cbd37d96c708b4ebb8f3424c1b7f6b05ef678f2230 bf61c078157dd7523cb580672273190de5de3d41577f5d66c5afcdfeade09213 154cb010e8ac4c50a47f4b218c133b5c7d059f5aff4c2820486e0ae511966e89 44ccafb69e61139d9107a87f58133c43b8586931faf620c38c1824057d66d614

斯宾泰C2.

lion20810397.ddns。净

Windows Malware C2域

camera.dvrcam [。]信息Facebooks.ddns [。] Me google.loginto [。]我

Windows Malware哈希

05320C7348C156F0A98907D2B1527FF080AE36437D58735F2822D9F42F5D273

链接到Android Malware

app-chat1.atwebpages [。] com app-showchat.atwebpages [。] com showra-chat.atwebpages [。] com

干旱的毒蛇

这项活动起源于巴勒斯坦和目标个人在同一地区,包括政府官员,法塔赫政党的成员,学生团体和安全部队。我们的调查将此活动与Atid Viper联系在一起,这是一个已知的先进持久威胁演员。它使用庞大的基础架构来支持其运营,包括托管iOS和Android恶意软件的百种网站,试图通过网络钓鱼窃取凭据或担任命令和控制服务器。

它们似乎在各种互联网服务中运行,使用社会工程,网络钓鱼网站和在目标网络间谍活动中的连续不断发展的Windows和Android恶意软件。

我们与行业同行和安全研究人员共享威胁指标,作为扰乱本集团业务的一致努力的一部分。我们还与我们的调查结果分享了详细的技术报告,包括威胁指标,以帮助推进业界对此对手(下文)的理解。

以下是我们观察到的一些显着的策略,技术和程序(TTP):

自定义IOS监控软件:

  • 干旱viper使用了先前未报告的自定义IOS监控软件,并反映出战术转变。我们称之为IOS组件的Phabakite由于它是罕见的,并且从希腊语中获取其名称,这意味着欺骗或欺骗。
  • 安装蜜蜂的安装需要人们被欺骗安装移动配置概况。这允许在设备上安装的iOS应用程序的特定设备签名版本。不需要越狱设备。
  • 安装后,恶意软件需要进行越狱,以提高其检索敏感用户信息的权限,而这些信息无法通过标准的iOS许可请求访问。这是通过使用Sock Port漏洞的公开的Osiris越狱实现的,这两个漏洞都被绑定在恶意的iOS应用商店软件包(IPAs)中。
  • Arid Viper的iOS监控软件在一个功能齐全的聊天应用程序中被木马化,该应用程序使用开源RealtimeChat代码来实现合法的应用程序功能。这种恶意软件还可以引导人们进入Facebook和iCloud的钓鱼页面,窃取他们使用这些服务的证书。
  • ATID VIPER使用自定义IOS监控软件显示这种能力越来越可实现的,而受到据信的普遍认为是较低的。

不断发展的Android和Windows Malware

  • Arid Viper使用的Android工具与之前报道的恶意软件有许多相似之处Frozencell.鞋面
  • Adid Viper部署的Android恶意软件需要人们从其设备上的第三方来源安装应用程序。该集团使用各种令人信服的攻击者控制的网站来创造应用程序合法的印象。
  • Arid Viper最近的行动也使用了被称为Micropsia的恶意软件家族的变体,它以前一直与这个威胁行动者有关。

恶意软件分发

  • Android和iOS恶意软件的交付都涉及到社交工程。
  • Android Malware通常是在令人信服的攻击者控制的网络钓鱼站点上托管。在这篇文章时,我们发现了41个这样的网站。
  • iOS恶意软件之前曾被发现来自中国第三方应用开发网站。在我们与行业合作伙伴分享了我们的发现,导致多个开发者证书被吊销后,Arid Viper发布Phenakite的能力就被破坏了。我们看到他们尝试着建立自己的基础架构去发行他们的iOS植入。
  • 虽然之前有人在Play Store等官方应用渠道中发现了《Arid Viper》工具,但我们在最近的活动中却没有发现这种情况。

网络间谍时间表图形

妥协流程:

干旱的毒蛇字符干旱的毒蛇图表

看到完整的干旱毒蛇的威胁报告有关更多信息和IOC。



为了帮助个性化内容,定制和衡量广告,并提供更安全的体验,我们使用cookie。通过点击或浏览本网站,您同意允许我们通过cookies收集Facebook上或外的信息。了解更多信息,包括可用控件:饼干的政策