寫在前面的話

我們將分享研究人員針對巴勒斯坦兩個不同黑客組織采取的行動。

一個與預(yù)防安全局(PSS)有關(guān)的組織和一個被稱為“Arid Viper”的威脅行為體。我們消除了他們利用其基礎(chǔ)設(shè)施濫用互聯(lián)網(wǎng)服務(wù)平臺傳播惡意軟件和入侵用戶個人賬號的能力。

[[397263]]

Facebook威脅情報分析師和安全專家致力于發(fā)現(xiàn)和阻止各種威脅，包括網(wǎng)絡(luò)間諜活動、網(wǎng)絡(luò)攻擊活動以及民族國家行為者和其他團(tuán)體對我們平臺的黑客攻擊。作為這些努力的一部分，我們的團(tuán)隊(duì)經(jīng)常通過禁用網(wǎng)絡(luò)攻擊者的入侵操作、通知人們是否應(yīng)該采取措施保護(hù)他們的帳戶、公開分享我們的發(fā)現(xiàn)以及繼續(xù)改進(jìn)我們產(chǎn)品的安全性來跟網(wǎng)絡(luò)犯罪分子相抗衡。

我們將分享對兩起網(wǎng)絡(luò)間諜活動的最新研究。其中一個主要針對巴勒斯坦的國內(nèi)用戶，另一個攻擊活動的主要攻擊目標(biāo)則是巴勒斯坦和敘利亞，其次是土耳其、伊拉克、黎巴嫩和利比亞。

為了對抗這兩個網(wǎng)絡(luò)犯罪活動，我們關(guān)閉了他們的帳戶，發(fā)布了惡意軟件哈希，封鎖了與他們活動相關(guān)的域名，并提醒了潛在的受影響用戶以幫助他們保護(hù)自己賬號和個人信息的安全。我們與包括反病毒社區(qū)在內(nèi)的行業(yè)合作伙伴共享信息，以便他們也能檢測并阻止這一活動，從而加強(qiáng)我們在互聯(lián)網(wǎng)上對這些黑客團(tuán)體的響應(yīng)。

我們鼓勵廣大用戶保持警惕，并采取措施保護(hù)自己的帳戶，避免點(diǎn)擊可疑鏈接和從不受信任的來源下載軟件，這些軟件可能會損害他們的設(shè)備和存儲在他們身上的信息。

這些網(wǎng)絡(luò)攻擊活動背后的黑客是非常難對付的，我們知道他們會根據(jù)我們的執(zhí)行而改變策略。然而，我們也會不斷改進(jìn)我們的探測系統(tǒng)，并與安全界的其他小組合作，繼續(xù)打擊這些威脅行為體。如果可能的話，我們會繼續(xù)分享我們的發(fā)現(xiàn)，讓人們意識到我們所觀察到的威脅，并采取措施加強(qiáng)他們賬戶的安全性。

跟PSS有關(guān)的網(wǎng)絡(luò)活動

這項(xiàng)活動起源于約旦河西岸，重點(diǎn)目標(biāo)是巴勒斯坦領(lǐng)土和敘利亞，其次是土耳其、伊拉克、黎巴嫩和利比亞。它依靠社會工程學(xué)技術(shù)誘使人們點(diǎn)擊惡意鏈接并在他們的設(shè)備上安裝惡意軟件。我們的調(diào)查發(fā)現(xiàn)，該活動與預(yù)防性安全局(巴勒斯坦權(quán)力機(jī)構(gòu)的內(nèi)部情報組織)有聯(lián)系。

這一持續(xù)不斷的威脅行為體將重點(diǎn)放在廣泛的目標(biāo)上，包括記者、反對法塔赫領(lǐng)導(dǎo)的政府的人、人權(quán)活動人士以及包括敘利亞反對派和伊拉克軍方在內(nèi)的軍事團(tuán)體。他們使用自己的低復(fù)雜度惡意軟件偽裝成安全聊天應(yīng)用程序，并在互聯(lián)網(wǎng)上廣泛傳播。

我們通過分析后，發(fā)現(xiàn)了該活動涉及到的一些技術(shù)、策略和程序組件：

• Android惡意軟件：這組定制的Android惡意軟件功能相對簡單，這個惡意軟件偽裝成安全聊天應(yīng)用程序，一旦安裝，它會收集設(shè)備元數(shù)據(jù)(如制造商、操作系統(tǒng)版本、IMEI)、通話記錄、位置、聯(lián)系人和文本消息等信息。在極少數(shù)情況下，它還包含鍵盤記錄功能——記錄設(shè)備上的每一次擊鍵。一旦被收集，惡意軟件就會將數(shù)據(jù)上傳到移動應(yīng)用程序開發(fā)平臺Firebase。除了他們定制的惡意軟件之外，這個組織還利用了公開的Android惡意軟件SpyNote，它有更多的功能，包括遠(yuǎn)程設(shè)備訪問和監(jiān)控通話的能力。
• Windows惡意軟件：這個組織偶爾會為Windows部署公開可用的惡意軟件，包括該地區(qū)常用的NJRat和HWorm。他們還將Windows惡意軟件捆綁在安裝包中，作為自己的誘餌應(yīng)用程序，供記者提交與人權(quán)有關(guān)的文章發(fā)表。此應(yīng)用沒有合法功能。
• 社會工程學(xué)技術(shù)：該組織利用偽造和泄露的賬戶，制造假象，主要偽裝成年輕婦女，還偽裝成哈馬斯、法塔赫、各種軍事團(tuán)體、記者和活動家的支持者，與他們所針對的人建立信任，誘使他們安裝惡意軟件。他們的一些網(wǎng)頁被設(shè)計(jì)用來吸引特定的追隨者，以便日后進(jìn)行社會工程和惡意軟件攻擊。

威脅識別

Android C2域名：

• news-fbcb4.firebaseio[.]com
• news-fbcb4.appspot[.]com
• chaty-98547.firebaseio[.]com
• chaty-98547.appspot[.]com
• jamila-c8420.firebaseio[.]com
• jamila-c8420.appspot[.]com
• showra-22501.firebaseio[.]com
• showra-22501.appspot[.]com
• goodwork-25869.firebaseio[.]com
• goodwork-25869.appspot[.]com
• advance-chat-app.firebaseio[.]com
• advance-chat-app.appspot[.]com
• filtersapp-715ee.firebaseio[.]com
• filtersapp-715ee.appspot[.]com
• humanrights-1398b.firebaseio[.]com
• humanrights-1398b.appspot[.]com
• jamilabouhaird-c0935.firebaseio[.]com
• jamilabouhaird-c0935.appspot[.]com
• hotchat-f0c0e.appspot[.]com
• hotnewchat.appspot[.]com

Android哈希：

• aeb0c38219e714ab881d0065b9fc1915ba84ad5b86916a82814d056f1dfaf66d
• 3c21c0f64ef7b606abb73b9574d0d66895e180e6d1cf2ad21addd5ade79b69fb
• d2787aff6e827809b836e62b06cca68bec92b3e2144f132a0015ce397cf3cac2
• 2580f7afb4746b223b14aceab76bd8bc2e4366bfa55ebf203de2715176032525
• f7ea82e4c329bf8e29e9da37fcaf35201dd79c2fc55cc0feb88aedf0b2d26ec2
• 0540051935145fb1e3f9361ec55b62a759ce6796c1f355249805d186046328dc
• 03de278ec4c4855b885520a377f8b1df462a1d8a4b57b492b3b052aafe509793
• fe77e052dc1a8ebea389bc0d017191e0f41d8e47d034c30df95e3d0dc33cfe10
• 6356d55c79a82829c949a46c762f9bb4ca53da01a304b13b362a8a9cab20d4d2
• 9a53506c429fa4ff9113b2cbd37d96c708b4ebb8f3424c1b7f6b05ef678f2230
• bf61c078157dd7523cb5*80672273190de5de3d41577f5d66c5afcdfeade09213
• 154cb010e8ac4c50a47f4b218c133b5c7d059f5aff4c2820486e0ae511966e89
• 44ccafb69e61139d9107a87f58133c43b8586931faf620c38c1824057d66d614

SpyNote C2：

• lion20810397.ddns[.]net

Windows惡意軟件C2域名：

• camera.dvrcam[.]info
• facebooks.ddns[.]me
• google.loginto[.]me

Windows惡意軟件哈希：

• 05320c7348c156f0a98907d2b1527ff080eae36437d58735f2822d9f42f5d273

Android惡意軟件鏈接：

• app-chat1.atwebpages[.]com
• app-showchat.atwebpages[.]com
• showra-chat.atwebpages[.]com

Arid Viper活動

這項(xiàng)活動起源于巴勒斯坦，目標(biāo)是同一地區(qū)的個人用戶，包括政府官員、法塔赫政黨成員、學(xué)生團(tuán)體和安全部隊(duì)。我們的調(diào)查將這次攻擊活動與Arid Viper聯(lián)系起來，后者是一種已知的高級持久性網(wǎng)絡(luò)威脅組織。Arid Viper利用龐大的基礎(chǔ)設(shè)施來支持自己的運(yùn)營，包括上百個網(wǎng)站，這些網(wǎng)站要么托管iOS和Android惡意軟件，要么試圖通過網(wǎng)絡(luò)釣魚竊取憑據(jù)，要么充當(dāng)命令和控制服務(wù)器。

它們似乎跨多個互聯(lián)網(wǎng)服務(wù)運(yùn)營，在有針對性的網(wǎng)絡(luò)間諜活動中結(jié)合使用社會工程、釣魚網(wǎng)站和不斷演變的Windows和Android惡意軟件。

我們與業(yè)界同行和安全研究人員分享了威脅指標(biāo)，我們通過分析后，發(fā)現(xiàn)了該活動涉及到的一些技術(shù)、策略和程序組件：

• 自定義iOS監(jiān)視軟件：Arid Viper使用定制的iOS監(jiān)控軟件，這是以前沒有報道過的，這也反映了他們在策略上的轉(zhuǎn)變。我們稱這個iOS組件為Phenakite，因?yàn)樗芟∮?，它的名字來源于希臘語Phenakos，意思是欺騙。安裝Phenakite需要欺騙人們安裝移動配置文件。這允許在設(shè)備上安裝特定于設(shè)備的iOS應(yīng)用程序簽名版本。安裝后，惡意軟件需要越獄來提升其權(quán)限，以檢索無法通過標(biāo)準(zhǔn)iOS權(quán)限請求訪問的敏感用戶信息。這是通過公開的Osiris jailbreak實(shí)現(xiàn)的，Osiris jailbreak利用了Sock端口漏洞，這兩種漏洞都捆綁在惡意的iOS應(yīng)用商店包(IPAs)中。該應(yīng)用程序使用開源實(shí)時聊天代碼實(shí)現(xiàn)合法的應(yīng)用程序功能，還可以引導(dǎo)人們進(jìn)入Facebook和iCloud的釣魚網(wǎng)頁，竊取他們的這些服務(wù)的憑據(jù)。

• 不斷進(jìn)化的Android和Windows惡意軟件：Arid Viper所使用的Android工具與之前報道的FrozenCell和VAMP惡意軟件有許多相似之處。Arid Viper部署的Android惡意軟件要求人們在設(shè)備上安裝來自第三方的應(yīng)用程序，該組織利用各種令人信服的、由攻擊者控制的網(wǎng)站，制造出應(yīng)用程序合法的印象。Arid Viper最近的行動還使用了一個名為Micropsia的惡意軟件家族的變種，而Micropsia以前與這個威脅行為體有關(guān)。

• 惡意軟件傳播：Android和iOS惡意軟件的傳播都涉及到社會工程學(xué)技術(shù)。Android惡意軟件通常托管在外觀令人信服的攻擊者控制的釣魚網(wǎng)站上。在撰寫本文時，我們發(fā)現(xiàn)了41個這樣的網(wǎng)站。iOS惡意軟件此前被發(fā)現(xiàn)來自第三方中國應(yīng)用程序開發(fā)網(wǎng)站。在我們與行業(yè)合作伙伴分享了我們的發(fā)現(xiàn)，導(dǎo)致多個開發(fā)人員證書被吊銷之后，Arid Viper分銷Phenakite的能力被打亂。

入侵流程