今天，我們將分享針對兩個獨立黑客組織（越南的 APT32 和孟加拉國的一個組織）採取的行動，以消除他們利用其基礎設施濫用我們的平颱、傳播噁意軟件和在互聯網上入侵人們賬戶的能力。

Facebook 的威脅情報分析師和安全專家緻力於髮現和阻止各種威脅，包括噁意軟件活動、影響操作以及國家對手、黑客和其他人員對我們的平颱或個人 Facebook 帳戶的黑客攻擊。作爲這些努力的一部分，我們的團隊會定期通過禁用對手的操作來破壞對手的操作，通知用戶他們是否應該採取措施保護自己的帳戶，公開分享我們的髮現並繼續提高我們産品的安全性。

今天，我們將分享我們針對試圖入侵人們的賬戶並獲取其信息的企圖（通常稱爲網絡間諜活動）的最新研究和執法行動。這兩個毫無關聯的團體使用截然不同的策略針對我們平颱上和互聯網其他地方的人們。來自越南的行動主要側重於向其目標傳播噁意軟件，而來自孟加拉國的行動則側重於入侵各個平颱的賬戶並協調報告，以便從 Facebook 上刪除目標賬戶和主頁。

這些行動的幕後黑手是頑固的對手，我們預計他們會不斷改進策略。但是，我們的檢測繫統和威脅調查人員以及安全社區的其他團隊一直在不斷改進，使他們更難被髮現。我們將繼續儘可能地分享我們的髮現，以便人們了解我們所看到的威脅，並採取措施加強其帳戶的安全性。

以下是我們的髮現

孟加拉國

這個位於孟加拉國的組織針對當地的活動家、記者和宗教少數派，包括居住在國外的人，以破壞他們的賬戶，並讓 Facebook 以違反社區準則爲由禁用其中一些賬戶。我們的調查髮現，這一活動與孟加拉國的兩個非營利組織有關：Don''s Team（也稱爲 Defense of Nation）和犯罪研究與分析基金會 (CRAF)。他們似乎在多個互聯網服務上開展業務。

Don 的團隊和 CRAF 合作舉報 Facebook 上有人虛構地違反我們的社區準則，包括涉嫌冒充他人、侵犯知識産權、裸體和恐怖主義。他們還入侵了人們的賬戶和主頁，並將其中一些被入侵的賬戶用於自己的運營目的，包括擴大其內容。至少有一次，在主頁管理員的賬戶被入侵後，他們刪除了其餘管理員，接管並禁用了主頁。我們的調查表明，這些有針對性的黑客攻擊可能是通過多種平颱外策略進行的，包括電子郵件和設備入侵以及濫用我們的賬戶恢複流程。

爲了阻止這種活動，我們刪除了該行動背後的帳戶和主頁。我們與行業合作夥伴分享了有關該組織的信息，以便他們也能髮現並阻止這種活動。我們鼓勵人們保持警惕並採取措施保護自己的帳戶，避免點擊可疑鏈接和從不可信來源下載軟件，因爲這可能會危害他們的設備和存儲在其中的信息。

越南

APT32 是一家總部位於越南的高級持續性威脅行爲者，其目標是國內外越南人權活動家、包括老撾和柬埔寨在內的多個外國政府、非政府組織、新聞機構以及信息技術、酒店、農業和商品、醫院、零售、汽車行業和移動服務領域的多家企業，並利用噁意軟件實施攻擊。我們的調查將此活動與越南 IT 公司 Cyber​​One Group（也稱爲 Cyber​​One Security、Cyber​​One Technologies、Hành Tinh Company Limited、Planet 和 Diacauso）聯繫起來。

正如我們的行業合作夥伴先前所報告的那樣，APT32 已在互聯網上部署了各種對抗策略。我們多年來一直在跟踪並針對該組織採取行動。我們最近的調查分析了許多值得注意的策略、​​技術和程序 (TTP)，包括：

社會工程： APT32 在互聯網上創建虛假人物，冒充活動家和商業實體，或在聯繫目標人物時使用浪漫誘惑。這些努力通常涉及在其他互聯網服務上爲這些虛假人物和虛假組織創建後盾，以便它們看起來更合法，並能經受住審查，包括安全研究人員的審查。他們的一些頁麵旨在引誘特定的追隨者，以便日後進行網絡釣魚和噁意軟件攻擊。

噁意 Play Store 應用序：除了使用 Pages 之外，APT32 還引誘目標通過 Google Play Store 下載 Android 應用程序，這些應用程序具有廣泛的權限，允許對人們的設備進行廣泛監控。

噁意軟件傳播： APT32 入侵網站並創建自己的網站，將混淆的噁意 javascript 作爲水坑攻擊的一部分，以跟踪目標的瀏覽器信息。水坑攻擊是指黑客感染目標經常訪問的網站以入侵其設備。作爲其中的一部分，該組織構建了自定義噁意軟件，能夠在髮送執行噁意代碼的定製負載之前檢測目標使用的操作繫統類型（Windows 或 Mac）。與該組織過去的活動一緻，APT32 還使用文件共享服務的鏈接，他們在其中托管噁意文件，供目標點擊和下載。最近，他們使用縮短的鏈接來傳播噁意軟件。最後，該組織依靠 Microsoft Windows 應用程序中的動態鏈接庫 (DLL) 側載攻擊。他們開髮了exe、rar、rtf和iso格式的噁意文件，並傳遞了包含文本噁意鏈接的良性 Word 文檔。

我們調查和阻止的最新活動具有資源充足、持續行動的特點，該行動同時關注多個目標，同時混淆其來源。我們與業內同行分享了我們的髮現，包括 YARA 規則和噁意軟件籤名，以便他們也能檢測和阻止此活動。爲了阻止此行動，我們阻止相關域名在我們的平颱上髮佈，刪除了該組織的帳戶，並通知了我們認爲是 APT32 目標的人員。

威脅指標：

哈希

768510fa9eb807bba9c3dcb3c7f87b771e20fa3d81247539e9ea4349205e39eb

69730f2c2bb9668a17f8dfa1f1523e0e1e997ba98f027ce98f5cbaa869347383

域

Tocaoonline[.]com

qh2020[.]org

Tinmoivietnam[.]com

nhansudaihoi13[.]org

chatluongvacuocsong[.]vn

tocaoonline[.]org

facebookdeck[.]com

thundernews[.]org

YARA 籤名

規則 APT32_goopdate_installer

規則 APT32_goopdate_installer {

  元：

    參考 = “https://about.fb.com/news/2020/12/taking-action-against-hackers-in-bangladesh-and-vietnam/”

    作者 = “Facebook”

    description = “檢測到 APT32 安裝程序通過 goopdate.dll 側載”

    樣本 = “69730f2c2bb9668a17f8dfa1f1523e0e1e997ba98f027ce98f5cbaa869347383”

  字符串：

    $s0 = { 68 ?? ?? ?? ?? 57 A3 ?? ?? ?? ?? FF D6 33 05 ?? ?? ?? ?? }

    $s1 = “獲取進程地址”

    $s2 = {8B 4D FC ?? ?? 0F B6 51 0C ?? ?? 8B 4D F0 0F B6 1C 01 33 DA}

    $s3 = "查找下一個文件W"

    $s4 = “Process32NextW”

  健康）狀況：

    （pe.is_64bit() 或 pe.is_32bit()）和

    他們全部

}

規則 APT32_osx_backdoor_loader

規則 APT32_osx_backdoor_loader {

  元：

    參考 = “https://about.fb.com/news/2020/12/taking-action-against-hackers-in-bangladesh-and-vietnam/”

    作者 = “Facebook”

    description = “檢測 OSX 上的 APT32 後門加載程序”

    樣本 = “768510fa9eb807bba9c3dcb3c7f87b771e20fa3d81247539e9ea4349205e39eb”

  字符串：

    $a1 = { 00 D2 44 8A 04 0F 44 88 C0 C0 E8 07 08 D0 88 44 0F FF 48 FF C1 48 83 F9 10 44 88 C2 }

    $a2 = {41 0F 10 04 07 0F 57 84 05 A0 FE FF FF41 0F 11 04 07 48 83 C0 10 48 83 F8 10 75}

    // 加密數據

    $e1 = { CA CF 3E F2 DA 43 E6 D1 D5 6C D4 23 3A AE F1 B2 } // 解碼爲刪除文件路徑：''/tmp/panels''

    $e2 = "MlkHVdRbOkra9s+G65MAoLga340t3+zj/u8LPfP3hig=" // 解碼爲導出 API 名稱“ArchaeologistCodeine”

    $e3 = { 5A 69 98 0E 6C 4B 5C 69 7E 19 34 3B C3 07 CA 13 } // 解碼爲 ''ifconfig -l''

    $e4 = “1Sib4HfPuRQjpxIpECnxxTPiu3FXOFAHMx/+9MEVv9M+h1ngV7T5WUP3b0zsg0Qd” // 解碼以導出 API“PlayerAberadurtheIncomprehensible”

    // 解碼導出函數名稱

    $e5 = “_ArchaeologistCodeine”

    $e6 = "_PlayerAberadurtheIncomprehensible"

  健康）狀況：

    ((uint32(0) == 0xfeedface 或 uint32be(0) == 0xfeedface) 或 (uint32(0) == 0xfeedfacf 或 uint32be(0) == 0xfeedfacf)) 和

   （

      2 個 ($e*) 或

      全部 ($a*)

   ）

}