疑似伊朗间谍单位利用脸谱监视美国军事人员

雅加达 - Facebook的威胁情报团队说,它已经获得了一个先进的持续威胁(APT)团体从伊朗。迄今为止,该组织一直利用社交网络传播恶意软件和开展网络间谍活动,尤其是在美国。

高级持续威胁 (APT) 组是隐藏威胁的实施者,通常来自州或州赞助的团体。该组未经授权进入计算机网络,并长时间无法检测。

Facebook网络间谍调查负责人迈克·德维良斯基和Facebook威胁干扰主管大卫·阿格拉诺维奇报告说,这个名为"龟壳"的组织计划以美国、英国或欧洲国防和航空航天行业的军事和企业人员为目标。

Facebook团队表示:"这些活动的特点是良好的和持久的资源运营,同时依靠相对强大的运营安全措施来隐藏幕后黑手。

Facebook 阻止该组创建的恶意域在其平台上共享。Facebook还删除了该组织的帐户,并通知了据信是该组织袭击目标的潜在受害者。

这家社交媒体公司表示,其平台被用于更广泛的龟壳平台的网络间谍活动。该组织在 Facebook 上的活动侧重于社会工程,试图从社交网络中吸引用户,在那里他们可以接触到恶意软件,并在 Facebook 上共享恶意软件。

FireEye将龟壳追踪为UNC1833,该公司表示,从2018年起,该组织一直专注于中东的目标。这与另一个伊朗APT组织APT35有关。

"伊朗仍然是一个不可忽视的侵略性网络行为者。虽然他们的大部分活动都集中在中东,但他们现在并不局限于在其领土上活动,"曼迪安特威胁情报公司高级首席分析师莎拉·琼斯说。

龟壳方法

Facebook说,龟壳团伙在联系目标时制造了假的在线角色,有时涉及自己几个月。

"这些帐户经常伪装成来自目标国家的国防和航空航天公司的招聘人员和雇员。其他角色声称在酒店、医药、新闻、非政府组织和航空公司工作,"Facebook说。

据Facebook称,这个APT集团创建了数十个假域名,旨在吸引来自不同行业和兴趣的人。这包括包含名称"Trump"的五个网址。其他假冒网站伪造了国防承包商、美国劳工部职业网站和电子邮件提供商。

龟壳使用假域名作为诱饵,引诱其目标离开Facebook,以便它可以间谍活动,窃取信息或传播恶意软件。

Facebook 说:"这个域名似乎被用来窃取受害者在线帐户(例如,公司和个人电子邮件、协作工具、社交媒体)的登录凭据。它们似乎还用于分析目标数字系统,以获取有关用户设备、他们连接到的网络以及他们安装的软件的信息,以便最终交付专为目标设计的恶意软件。

Facebook 认为,该团队使用特殊的恶意软件,包括功能齐全的远程访问特洛伊木马程序、设备和网络窥探工具以及关键记录器。Facebook表示,它使用的一些恶意软件是由德黑兰IT公司马哈克·拉扬·阿夫拉兹开发的,该公司与伊斯兰革命卫队有联系。

7月14日星期三,证明点描述了另一个由TA453操作的伊朗网络钓鱼攻击,也被称为迷人的小猫。他们的目的是获得有关外交政策的信息,了解伊朗的持不同政见者运动,并了解美国的核谈判。