Facebook已經(jīng)關(guān)閉了其平臺(tái)上的幾個(gè)賬戶，越南的APT32組織和一個(gè)位于孟加拉國(guó)的不知名的威脅組織，這兩個(gè)網(wǎng)絡(luò)犯罪集團(tuán)利用這些賬戶和頁(yè)面發(fā)起了釣魚(yú)攻擊和惡意軟件攻擊。

這家社交媒體巨頭表示，現(xiàn)在已經(jīng)禁止了這兩個(gè)團(tuán)伙濫用平臺(tái)、傳播惡意軟件和攻擊其他賬戶的行為。一項(xiàng)新的分析稱(chēng)，這兩個(gè)團(tuán)伙沒(méi)有任何的關(guān)系，他們利用了"完全不同 "的策略來(lái)針對(duì)Facebook用戶進(jìn)行攻擊。

[[357727]]

安全政策主管Nathaniel Gleicher和Facebook網(wǎng)絡(luò)威脅情報(bào)經(jīng)理Mike Dvilyanski在周四的一篇文章中說(shuō)，"來(lái)自越南團(tuán)伙攻擊行動(dòng)主要在于向目標(biāo)發(fā)送惡意軟件，而來(lái)自孟加拉國(guó)的攻擊行動(dòng)則專(zhuān)注于通過(guò)跨平臺(tái)來(lái)攻擊賬戶，使目標(biāo)賬戶和頁(yè)面從Facebook上刪除"。

APT32，又稱(chēng)OceanLotus，是一個(gè)有越南背景的的高級(jí)持續(xù)性威脅(APT)組織，至少?gòu)?013年就開(kāi)始運(yùn)作了。最近，又發(fā)現(xiàn)該組織與針對(duì)亞洲Android用戶的間諜活動(dòng)有關(guān)(在4月份被卡巴斯基稱(chēng)為PhantomLance的攻擊)。

Facebook表示，APT32利用平臺(tái)主要是針對(duì)越南的人權(quán)活動(dòng)家，以及多個(gè)外國(guó)政府(包括老撾和柬埔寨的政府)、非政府組織、新聞機(jī)構(gòu)和一些企業(yè)。

該威脅組織創(chuàng)建了Facebook頁(yè)面和賬戶，以便通過(guò)網(wǎng)絡(luò)釣魚(yú)和惡意軟件攻擊的方式來(lái)鎖定特定的用戶。在這里，APT23使用了各種社會(huì)工程學(xué)攻擊方式，冒充活動(dòng)家或商業(yè)實(shí)體，來(lái)使得自己的身份顯得更加可信。

在這些頁(yè)面的偽裝下，APT32會(huì)說(shuō)服目標(biāo)通過(guò)合法的Google Play商店下載安卓應(yīng)用，而這些應(yīng)用又有各種權(quán)限，所以可以對(duì)受害者的設(shè)備進(jìn)行監(jiān)控。Threatpost已經(jīng)聯(lián)系了Facebook，希望進(jìn)一步了解這里所使用的具體應(yīng)用。谷歌發(fā)言人也向Threatpost證實(shí)，這些攻擊中使用的應(yīng)用已經(jīng)從Google Play中刪除。

除了手機(jī)應(yīng)用之外，APT32還會(huì)利用這些賬戶來(lái)欺騙受害者點(diǎn)擊被入侵了的網(wǎng)站--或者是他們自己創(chuàng)建的網(wǎng)站，通過(guò)加入惡意(混淆)的JavaScript，入侵受害者設(shè)備然后進(jìn)行水坑攻擊。作為這種攻擊的一部分，APT32還開(kāi)發(fā)了特定的惡意軟件，它將檢測(cè)受害者的操作系統(tǒng)(Windows或Mac)，然后向他們發(fā)送一個(gè)定制的payload，然后執(zhí)行惡意代碼。

Facebook還觀察到APT32在其攻擊中使用了以前使用過(guò)的策略--例如使用文件共享服務(wù)的鏈接，包括短鏈接，并在這些服務(wù)中托管惡意文件然后受害者會(huì)點(diǎn)擊并進(jìn)行下載。

"最后，該團(tuán)伙還使用了微軟Windows應(yīng)用程序中的動(dòng)態(tài)鏈接庫(kù)(DLL)進(jìn)行側(cè)道攻擊，"Facebook說(shuō)。"他們開(kāi)發(fā)了.exe、.rar、.rtf和.iso格式的惡意文件，還制作了包含惡意鏈接文本的Word文檔。"

根據(jù)Facebook的說(shuō)法，"我們的調(diào)查結(jié)果將這一攻擊活動(dòng)與CyberOne集團(tuán)聯(lián)系起來(lái)，這是越南的一家IT公司(也稱(chēng)為CyberOne Security、CyberOne Technologies、Hành Tinh Company Ltd.、Planet和Diacauso)。"

Threatpost已經(jīng)聯(lián)系到CyberOne集團(tuán)，希望其發(fā)表評(píng)論;并且還聯(lián)系到了Facebook，詢問(wèn)將這家公司與該活動(dòng)聯(lián)系起來(lái)的具體證據(jù)。

同時(shí)，總部設(shè)在孟加拉國(guó)的黑客攻擊者以當(dāng)?shù)氐纳鐣?huì)活動(dòng)家、記者和少數(shù)宗教群體為目標(biāo)，攻擊他們的Facebook賬戶。Facebook聲稱(chēng)，Don's Team(又稱(chēng)Defense of Nation)和犯罪研究與分析基金會(huì)(CRAF)，他們?cè)谶@項(xiàng)攻擊活動(dòng)中發(fā)現(xiàn)了與孟加拉國(guó)的這兩個(gè)非營(yíng)利組織之間的聯(lián)系。

該公司稱(chēng)，這些團(tuán)伙一塊舉報(bào)Facebook用戶違反了社區(qū)標(biāo)準(zhǔn)的行為--如涉嫌冒充、侵犯知識(shí)產(chǎn)權(quán)、裸露和恐怖主義等行為。此外，這些團(tuán)伙據(jù)稱(chēng)還入侵了Facebook用戶的賬戶和頁(yè)面，并達(dá)到自己的攻擊目的。

"曾經(jīng)有多次，頁(yè)面的管理員賬戶被入侵后，他們刪除了其余管理員，接管并禁用了該頁(yè)面。"Facebook表示。

Threatpost聯(lián)系了Don's Team和CRAF，希望他們能夠做進(jìn)一步的評(píng)論。Don's Team發(fā)言人告訴Threatpost，"最近對(duì)Don's Team的指控完全是誤導(dǎo)的。"

"我們與最近孟加拉國(guó)的關(guān)于Facebook的攻擊無(wú)關(guān)，"該發(fā)言人說(shuō)。"Don's Team是一個(gè)社交媒體認(rèn)識(shí)和咨詢平臺(tái)。我們幫助人們解決各種與Facebook相關(guān)的問(wèn)題。由于Facebook在孟加拉國(guó)沒(méi)有任何子公司，用戶會(huì)遇到許多與Facebook帳戶，頁(yè)面或者組有關(guān)的問(wèn)題。因此，作為一個(gè)社交媒體咨詢團(tuán)隊(duì)，當(dāng)他們的帳戶被黑客攻擊而不能訪問(wèn)賬戶時(shí)，我們來(lái)幫助這些用戶。當(dāng)賬戶被禁用時(shí)，按照Facebook的社區(qū)標(biāo)準(zhǔn)，我們幫助受害者恢復(fù)他們的賬戶。"

Facebook警告說(shuō)，以前已經(jīng)刪除了攻擊者使用的平臺(tái)的賬號(hào)，這些行為背后的攻擊者是一個(gè)"狡猾頑固的對(duì)手"。

Gleicher和Dvilyanski說(shuō)："我們將盡可能地繼續(xù)分享我們的發(fā)現(xiàn)，以便于讓人們看到我們所發(fā)現(xiàn)的威脅攻擊，并采取措施來(lái)增強(qiáng)他們的賬戶安全"。

本文翻譯自：https://threatpost.com/facebook-accounts-apt32-cyberattacks/162186/