【安全资讯】Facebook禁用三个叙利亚及巴基斯坦黑客组织的账户运营

引言

11月16日，Facebook公司发文称禁用了一个巴基斯坦黑客组织和三个叙利亚黑客组织的账户，破坏了这些组织的运营。这个巴基斯坦组织为SideCopy APT组织，使用 Facebook 账户攻击前阿富汗政府、军队和执法部门的官员。叙利亚组织的目标则是反对阿萨德政权的活动家、记者和少数群体。

简况

巴基斯坦组织

巴基斯坦黑客组织创建并运营了一个虚假的 Android 应用程序商店，目的是攻击与前阿富汗政府、喀布尔军队和执法部门有联系的人。该黑客组织为SideCopy APT组织，活动发生在今年 4 月至 8 月之间。

SideCopy组织在其平台上创建了虚构的角色，通常冒充年轻女性，接近并诱导目标点击恶意链接。SideCopy诱导人们安装木马聊天应用程序，如伪装成Viber 和 Signal聊天应用程序的恶意应用程序，或包含恶意软件的自定义 Android 应用程序，包括 HappyChat、HangOn、ChatOut、TrendBanter、SmartSnap 和 TeleChat。这些 Android 应用程序通常包括两个恶意软件家族：PJobRAT和Mayhem。

叙利亚组织

APT-C-27

10 月，Facebook破坏了一个被称为叙利亚电子军 (SEA) 或 APT-C-27 组织的运营，该组织的目标为叙利亚人民，包括人道主义组织、叙利亚南部的记者和激进分子，以及叙利亚南部的批评者。该组织近年来已被纳入叙利亚政府军，这一最新活动与叙利亚空军情报部门有关。

APT-C-27组织使用了商用和定制的恶意软件家族，包括HWorm/njRAT、HmzaRat Desktop 和SilverHawk。他们将 Android 恶意软件部署为木马应用程序的一部分，包括那些名为 United Nations、VPN Secure 和几个流行的聊天应用程序。该组织还使用开源移动应用程序开发工具 Xamarin 构建的新 Android 恶意软件。

APT-C-37

10 月，Facebook破坏了 APT-C-37 组织的运营，该组织的目标是与叙利亚自由军有关联的人和加入反对派部队的前军事人员。研究人员将 APT-C-37 的活动与叙利亚空军情报部门的一个独立单位联系起来。

除了可能是内部开发的名为 SSLove 的 Android 恶意软件系列之外，APT-C-37 还使用名为 SandroRAT 的商品恶意软件。APT-C-37依靠社会工程来分发恶意软件，以诱导目标访问攻击者控制的网站。其中一些网站的主题有关伊斯兰教，其他网站伪装成合法的应用程序商店或使用伪装成流行服务的相似域名，包括 Telegram、Facebook、YouTube 和 WhatsApp。APT-C-37 依靠具有常见恶意功能的 Android 恶意软件来检索敏感的用户数据，包括通话记录、联系信息、设备信息、用户帐户、拍照。

未命名黑客组织

此外，研究人员破坏了一个针对少数群体的黑客组织的运营，该组织的目标包括活动家、叙利亚南部的反对派、库尔德记者、人民保护部队（YPG）成员以及叙利亚民防组织。该组织使用的商用 Android 恶意软件包括：SpyNote 和 SpyMax。

总结

Facebook将叙利亚前两个团体的活动与叙利亚空军情报局内的两个独立部门联系起来，该部门是叙利亚最重要的情报部门。目前，Facebook已禁用了这些黑客组织的账户，阻止他们的域名在其网站上发布信息，并与执法部门和其他安全研究人员分享了有关攻击的信息。