متابعات-ميكسي نيوز
فيسبوك يربط هاكري….ربط باحثو الأمن السيبراني من Facebook اليوم أنشطة ممثل التهديد الفيتنامي لشركة تكنولوجيا المعلومات في البلاد بعد أن تم القبض على المجموعة للاعتداء على منصتها لاختراق حسابات الأشخاص وتوزيع البرامج الضارة.
تم تتبعه APT32 (أو البزموت ، Oceanlotus ، و Cobalt Kitty) ، فإن المشاركين المحازين للدولة المرتبطين بحكومة فيتنام كانوا معروفين بتنسيق المتطورة حملات التجسس على الأقل منذ عام 2012 بهدف تعزيز المصالح الاستراتيجية للبلاد.
“لقد ربط تحقيقنا هذا النشاط بمجموعة Cyberone ، وهي شركة لتكنولوجيا المعلومات في فيتنام (المعروفة أيضًا باسم Cyberone Security ، و Cyberone Technologies ، و Hành Tinh Company Limited ، و Planet و Diacauso) ،” رئيس السياسة الأمنية في Facebook ، و Nathaniel Gleicher ، و Cyber Threat Intelligence ، Mike Dvilyanski ، قال.
لم يتم الكشف عن درب الأدلة الدقيقة التي تؤدي إلى اعتبار نشاط القرصنة إلى مجموعة Cyberone ، ولكن وفقًا لوصف itviec – منصة الفيتنامية على الإنترنت لإيجاد ونشر الوظائف الشاغرة لمحترفي تكنولوجيا المعلومات ومطوري البرمجيات – تعلن الشركة عن نفسها كشركة متعددة الجنسيات “مع التركيز على” تطوير “منتجات وخدمات لضمان أمان أنظمة تكنولوجيا المعلومات في المؤسسات والشركات”.
مثل رويترز ذكرت في وقت سابق ، لها موقع إلكتروني يبدو أنه تم أخذها في وضع عدم الاتصال. ومع ذلك ، لقطة تم التقاطها من قبل أرشيف الإنترنت في 9 ديسمبر يوضح أن الشركة كانت تتطلع بنشاط إلى توظيف مختبري الاختراق ، وصيادين تهديدات الإنترنت ، ومحللي البرامج الضارة مع الكفاءة في Linux و C و C ++ و .NET.
كما نفى Cyberone ، في بيان أدلى لرويترز ، أن مجموعة Oceanlotus.
تاريخ الهجمات الطويل لـ APT32
يأتي اكتشاف Facebook لـ APT32 بعد أشهر فولكس تم الكشف عن حملات متعددة للهجوم التي تم إطلاقها عبر مواقع ويب مزيفة وصفحات Facebook لإعادة توجيه المستخدمين ، وإعادة توجيه الزوار إلى صفحات التصيد ، وتوزيع حمولات البرامج الضارة لنظام التشغيل Windows و MacOS.
بالإضافة إلى ذلك ، ذكرت ESET أ عملية مماثلة الانتشار عبر منصة التواصل الاجتماعي في ديسمبر 2019 ، باستخدام المنشورات والرسائل المباشرة التي تحتوي على روابط إلى أرشيف ضار تم استضافته على Dropbox.
تشتهر المجموعة بمجموعات الأدوات والشهور المتطورة ، بما في ذلك استخدامها لمستندات الإغراء و هجمات ثقب الري لإغراء الضحايا المحتملين في تنفيذ أ الباب الخلفي المكسور بالكامل قادرة على سرقة المعلومات الحساسة.
اكتسبت Oceanlotus سيئة السمعة في أوائل العام الماضي لاستهدافها العدواني لشركات السيارات متعددة الجنسيات في محاولة لدعم أهداف تصنيع المركبات في البلاد.
خلال ذروة جائحة Covid-19 ، نفذ APT32 حملات التسلل ضد الأهداف الصينية ، بما في ذلك وزارة إدارة الطوارئ ، بقصد جمع الذكاء على أزمة Covid-19.
الشهر الماضي ، الاتجاه الميكرو كشف الباحثون عن حملة جديدة تستفيد من أوراق MacOS جديدة تمكن المهاجمين من التطفل وسرقة المعلومات السرية ووثائق الأعمال الحساسة من الآلات المصابة.
ثم قبل أسبوعين ، قامت Microsoft بالتفصيل تكتيكًا لـ Oceanlotus التي تضمنت استخدام تقنيات عملة عملة معدنية للبقاء تحت الرادار وإثبات الثبات على أنظمة الضحايا ، مما يجعل من الصعب التمييز بين الجريمة ذات الدوافع المالي عن عمليات جمع الاستخبارات.
الهندسة الاجتماعية عبر الفيسبوك
الآن وفقًا لـ Facebook ، ابتكر APT32 شخصًا وهميًا ، حيث تم طرحه كناشطين وكيانات تجارية ، واستخدموا سحرًا رومانسيًا للوصول إلى أهدافهم ، مما يخدعهم في نهاية المطاف لتنزيل تطبيقات Android Rogue من خلال متجر Google Play الذي جاء مع مجموعة واسعة من الأذونات للسماح بطلب واسع لأجهزة Peoples.
وقال الباحثون: “إن أحدث نشاط قمنا بالتحقيق فيه وتعطيله له السمات المميزة لعملية جيدة الموارد والمستمرة التي تركز على العديد من الأهداف في وقت واحد ، في حين تملأ أصلها”. “لتعطيل هذه العملية ، منعنا المجالات المرتبطة من نشرها على منصتنا ، وإزالة حسابات المجموعة وأبلغنا الأشخاص الذين نعتقد أنهم كانوا مستهدفين من قبل APT32.”
في تطور منفصل ، قال Facebook إنه عطل أيضًا مجموعة مقرها في بنغلاديش استهدفت الناشطين والصحفيين والأقليات الدينية المحليين ، لتضخيم محتواهم.
“لقد ربط تحقيقنا هذا النشاط بمنظمين غير ربحين في بنغلاديش: فريق دون (المعروف أيضًا باسم الدفاع عن الأمة) ومؤسسة أبحاث وتحليل الجريمة (CRAF). يبدو أنها تعمل عبر عدد من خدمات الإنترنت.”
