Facebook說越南政府支持的黑客與IT公司有聯繫

Facebook表示，已經將一個被廣泛認為由越南政府贊助的先進黑客組織與該國合法的IT公司聯繫起來。

所謂的高級持續威脅小組隸屬於APT32和OceanLotus。 該公司至少從2014年開始運作，其目標客戶是眾多行業的私營公司，以及外國政府，持不同政見者和南亞及其他地區的記者。 它使用網路釣魚等多種策略，以從頭開始開發的功能齊全的台式機和移動惡意軟體感染目標。 為了贏得目標的信任，該小組竭盡全力創建偽裝成合法人和組織的網站和在線角色。

今年早些時候，研究人員發現了至少8個在Google Play中託管的異常複雜的Android應用程序，這些應用程序與黑客組織有關。 他們中的許多人至少從2018年開始就在那裡。OceanLotus反覆繞過Google的應用程序審查過程，部分方式是提交了應用程序的良性版本，然後對其進行更新以添加後門程序和其他惡意功能。

FireEye於2017年在OceanLotus上發布了這份詳細的報告，黑莓在這裡有更多最新信息。

周四，Facebook確定越南IT公司Cyber​​One Group與OceanLotus有關聯。 該組列出了胡志明市的地址。

發送給尋求評測的公司的電子郵件返回了一條錯誤消息，指出該電子郵件伺服器配置錯誤。 然而，路透社周五的報道援引一位操作該公司現在暫停的Facebook頁面的人士說：「我們不是Ocean Lotus。 這是一個錯誤。」

在這篇文章上線之時，該公司的網站也無法訪問。 星期五早些時候的檔案在這裡。

Facebook說，最近的一項調查發現了各種著名的戰術，技術和程序，包括：

• 社會工程：APT32在互聯網上創建了虛構的角色，並以虛擬活動者和商業實體的身份出現，或者在與目標人群聯繫時使用了浪漫的誘惑。 這些努力通常涉及在其他Internet服務上為這些假冒的角色和假冒組織創建支持，以使它們看起來更合法並可以接受包括安全研究人員在內的審查。 他們的某些頁面旨在吸引特定的關注者，以進行以後的網路釣魚和惡意軟體定位。
• 惡意的Play商店應用程序：除了使用Pages之外，APT32還誘使目標通過Google Play商店下載Android應用程序，該應用程序具有廣泛的許可權，可以廣泛監視用戶的設備。
• 惡意軟體傳播：APT32破壞了網站，並創建了自己的網站，以包含混淆的惡意JavaScript作為其攻擊目標的瀏覽器信息的水坑攻擊的一部分。 水坑攻擊是指黑客感染目標目標人員經常訪問的網站以破壞其設備的情況。 為此，該小組構建了自定義惡意軟體，該惡意軟體能夠在發送執行惡意代碼的量身定製的有效負載之前，檢測目標使用的操作系統類型（Windows或Mac）。 與該小組過去的活動一致，APT32還使用了指向文件共享服務的鏈接，在這些文件中託管了惡意文件，供目標單擊和下載。 最近，他們使用縮短的鏈接來分發惡意軟體。 最後，該小組依靠Microsoft Windows應用程序中的動態鏈接庫（DLL）側面載入攻擊。 他們開發了exe，rar，rtf和iso格式的惡意文件，並交付了包含文本惡意鏈接的良性Word文檔。

廣告Cyber​​One Group的名字並不是研究人員第一次公開將政府支持的黑客組織與現實世界組織聯繫起來。 2013年，來自現為安全公司FireEye一部分的Mandiant的研究人員確定了位於中國上海的12層辦公樓，作為Comment Crew的神經中心，Comment Crew是一個黑客組織，負責對140多個組織進行黑客攻擊。前七年。 該建築是中國人民解放軍61398部隊的總部。

而且在2018年，FireEye表示，在俄羅斯的一個研究實驗室開發了可能威脅生命的惡意軟體，該惡意軟體篡改了中東工業設施的安全機制。

Facebook表示，將取消OceanLotus濫用該公司平台的能力。 Facebook表示，它預計該組織的策略會發展，但改進的檢測系統將使該組織更難逃避曝光。

周四的報告未提供有關Facebook如何將OceanLotus與Cyber​​One Group關聯的具體信息，這使得外部研究人員難以證實這一發現。 Facebook告訴路透社，提供這些詳細信息將為攻擊者和其他類似攻擊者提供信息，使他們將來能夠逃避檢測。