Материнская компания Facebook Meta сообщила, что приняла меры против двух шпионских операций в Южной Азии, которые использовали ее социальные медиа-платформы для распространения вредоносного ПО среди потенциальных целей.
Первая атака, которую компания назвала «настойчивой и обеспеченной ресурсами», была предпринята хакерской группой, отслеживаемой под псевдонимом Bitter APT (она же APT-C-08 или T-APT-17), нацеленной на людей в Новой Зеландии, Индии, Пакистане и Великобритании.
«Bitter использовала различные вредоносные тактики, чтобы воздействовать на людей в Интернете с помощью социальной инженерии и заражать их устройства вредоносным ПО» - сообщается в ежеквартальном отчете Meta об угрозах. «Для распространения вредоносного ПО они использовали различные сервисы сокращения ссылок, вредоносные домены, взломанные веб-сайты и сторонних хостинг-провайдеров».
В ходе атак злоумышленники создавали фиктивные личности на платформе, маскируясь под привлекательных молодых женщин, чтобы вызвать доверие у жертв и заставить их перейти по фиктивным ссылкам, через которые распространялось вредоносное ПО.
Интересный момент заключается в том, что злоумышленники убедили жертв загрузить чат-приложение для iOS через Apple TestFlight, легальный онлайн-сервис, который можно использовать для бета-тестирования приложений и предоставления отзывов разработчикам.
«Это означает, что хакерам не нужно было полагаться на эксплойты для доставки пользовательского вредоносного ПО, они могли использовать официальные сервисы Apple для распространения приложения, чтобы придать ему более легитимный вид, пока они убеждали людей загрузить Apple Testflight и обманом заставляли их установить свое чат-приложение» - заявили исследователи.
Хотя точная функциональность приложения неизвестна, предполагается, что оно использовалось в качестве уловки для контроля над жертвами кампании через чат, организованный для этой цели.
Кроме того, операторы Bitter APT использовали ранее недокументированную вредоносную программу для Android под названием Dracarys, которая злоупотребляет разрешениями доступа операционной системы для установки произвольных приложений, записи аудио, захвата фотографий и сбора конфиденциальных данных с зараженных телефонов, таких как журналы вызовов, контакты, файлы, текстовые сообщения, геолокация и информация об устройстве.
Dracarys распространялся через трояны-дропперы, выдававшие себя за YouTube, Signal, Telegram и WhatsApp, продолжая тенденцию, согласно которой злоумышленники все чаще используют вредоносные программы, замаскированные под легитимное программное обеспечение, для взлома мобильных устройств.
Более того, Meta отметила, что хакеры противодействовали ее усилиям по обнаружению и блокировке, размещая неработающие ссылки или изображения вредоносных ссылок в потоках чата, требуя, чтобы получатели вводили ссылку в свой браузер.
Происхождение Bitter представляет собой загадку, поскольку имеется не так много показателей, позволяющих однозначно привязать ее к конкретной стране. Предполагается, что группировка действует из Южной Азии и недавно расширила сферу своей деятельности, нанося удары по военным объектам в Бангладеш.
Мета пресекает деятельность Transparent Tribe.
Вторая группа, деятельность которой была пресечена Meta - Transparent Tribe (она же APT36), передовая постоянная угроза, которая, как утверждается, базируется в Пакистане и имеет опыт нападения на правительственные учреждения Индии и Афганистана с помощью специально разработанных вредоносных инструментов.
В прошлом месяце Cisco Talos приписала этой группе участие в фишинговой кампании, направленной на студентов различных учебных заведений Индии, что ознаменовало отход от его типичной модели выбора целей и включение в нее гражданских пользователей.
Последняя серия вторжений свидетельствует о смещении приоритетов хакеров, поскольку жертвами стали военнослужащие, правительственные чиновники, сотрудники правозащитных и других некоммерческих организаций, а также студенты, находящиеся в Афганистане, Индии, Пакистане, Саудовской Аравии и ОАЭ.
Цели подвергались социальной обработке с использованием поддельных страниц в соцсетях, выдавая себя за рекрутеров как легальных, так и поддельных компаний, военнослужащих или привлекательных молодых женщин, желающих завязать романтические отношения, и в конечном итоге заманивая жертв открыть ссылки, содержащие вредоносное ПО.
Загруженные файлы содержали LazaSpy, модифицированную версию открытого ПО для мониторинга Android под названием XploitSPY, а также использовали неофициальные приложения-клоны WhatsApp, WeChat и YouTube для доставки другой вредоносной программы, известной как Mobzsar (она же CapraSpy).
Обе вредоносные программы обладают функциями сбора журналов вызовов, контактов, файлов, текстовых сообщений, геолокации, информации об устройстве и фотографий, а также включают микрофон устройства, что делает их эффективными инструментами слежки.
«Эта хакерская группировка является хорошим примером глобальной тенденции, когда группы с низким уровнем компетенции предпочитают полагаться на открыто доступные вредоносные инструменты, вместо того чтобы вкладывать средства в разработку или покупку сложных наступательных утилит» - заявляют исследователи.
Эти «базовые недорогие инструменты требуют меньше технических знаний для развертывания, но, тем не менее, приносят злоумышленникам результаты» - заявили в компании, добавив, что это «демократизирует доступ к возможностям взлома и слежки, поскольку барьер для входа становится ниже».
Источник: https://thehackernews.com
