欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

的黎波里行动:一次针对性的政治性社工行动

来源:本站整理 作者:佚名 时间:2019-07-10 TAG: 我要投稿


 
近日,我们偶然发现了一个大规模的行动,多年来,该行动利用Facebook页面在移动和桌面环境中传播恶意软件,其目标国家只有一个:利比亚。
利比亚紧张的政治局势似乎对于一些人来说很有帮助,他们用它来引诱受害者点击链接以及下载文件,这些文件本应是有关利比亚最新空袭或抓捕恐怖分子的信息,但实际上却含有恶意软件。
我们的调查始于偶然发现的Facebook上一个冒充利比亚国民军指挥官Khalifa Haftar的页面。除了担任陆军元帅外,Haftar还是利比亚政治舞台上的一位重要人物,在利比亚持续不断的内战中,他作为一名军事领导人发挥了重要作用。
通过这个Facebook页面,我们能够将这种恶意活动一直追溯到负责它的攻击者,并发现他们多年以来是如何利用社交网络平台以及合法网站去运行恶意软件,最后,成功地影响了数以万计的受害者,这些受害者主要来自于利比亚,也来自于欧洲、美国和加拿大。
基于我们分享的信息,Facebook删除了该行动中散布恶意构件的页面和账户。
 
0x01 冒充Haftar
这个冒充Khalifa Haftar的Facebook页面创建于2019年4月初,自那以后已经吸引了超过1.1万名粉丝。这个页面分享了一些有政治主题的帖子,其中包含用于下载利比亚情报部门泄密的文件的URL
帖子的描述声称,泄露的内容包括揭露卡塔尔或土耳其等国密谋对抗利比亚的文件,以及一名被俘飞行员试图轰炸首都的黎波里的照片。
他分享的一些网址导向一些app,这些app用于吸引有意加入利比亚武装部队的公民:

但这些链接将下载Windows环境下恶意的VBE格式或WSF格式的文件以及Android环境下APK格式的文件,而不是帖子中承诺的app。
攻击者选择的是开源工具而不是开发自己的工具,并用已知的远程管理工具控制受害者,如Houdini、Remcos和SpyNote,这些工具通常用于普通的攻击。
在我们的示例中,恶意样本通常存储在诸如Google Drive、Dropbox、Box等文件托管服务中。
 
0x02 除了Facebook之外的诱导途径
该页面的web地址中的用户名(@kalifhafatr)拼错了Haftar的名字,在网上查找它会得到一个同名的博主帐户。该账号自2015年以来一直活跃,并且管理多个博客页面:

该帐户最近发表的博客也使用了Haftar的名字,用户在访问时会自动下载恶意的VBE文件:

 
0x03 内容中的语法错误
另一个发现是几乎每篇帖子中都有大量语法错误。Haftar的名字并不是Facebook页面上唯一的拼写错误,因为这些帖子中有很多拼写错误的单词,比如缺失的字母和重复的阿拉伯语拼写错误。下面是其中一篇帖子,所有语法错误都被突出显示:

这些错误大部分都是重复的,有些帖子使用的单词在阿拉伯语中并不存在,因为原本打算使用的单词缺少了某些字母(比如“Pove”而不是“Prove”)。这些拼写错误不是在线翻译引擎可以生成的,而且可以表明文本是由说阿拉伯语的人编写的。
通过查找一些错误措辞的组合,我们在Facebook的网页上找到了许多重复同样独特错误的帖子。这些页面似乎是由同一威胁行为者操作的,它们揭露了一个持续进行的行动,这应该是一个多年来利比亚人和对利比亚政治感兴趣的人。
 
0x04 深入调查Facebook
通过查找这些独特的语法错误,我们发现至少自2014年以来,有30多个Facebook页面一直在传播恶意链接。其中一些页面非常受欢迎,活跃多年,拥有超过10万名用户。以下是此次攻击中最受欢迎的五个Facebook页面,以及每个页面的粉丝数量:

这些页面涉及不同的主题,但它们有一个共同点,那就是它们的目标受众似乎都是利比亚人。其中一些页面冒充利比亚重要人物和领导人,另一些支持该国某些政治活动或军事行动的页面,大多数是来自的黎波里或班加西等城市的新闻页面。
这些年来,攻击者总共使用了40多个独特的在页面中可共享的恶意链接。当我们看到网页和在不同阶段使用的网址之间的连接时,我们发现恶意活动是高度重叠的,因为许多链接是由多个网页传播的:

 
0x05 一次成功的攻击分析
因为攻击者使用短链接URL(bit.ly, goo.gl, tinyurl, etc.),我们可以知道有多少人准确地点击了每个链接。在某些情况下,我们甚至能够看到这些用户来自哪个国家,以及他们使用的环境。大多数网址都有数千次点击,主要是在它们被创建和分享的时候:

这些网址的点击者主要来源于Facebook,这说明社交网络是本次攻击中最常见的感染载体:

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载