Die Facebook-Muttergesellschaft Meta hat bekannt gegeben, dass sie gegen zwei Spionageoperationen in Südasien vorgegangen ist, die ihre Social-Media-Plattformen genutzt haben, um Malware an potenzielle Ziele zu verteilen.
Die erste Gruppe von Aktivitäten wurde von einer Hackergruppe mit dem Namen Bitter APT (auch bekannt als APT-C-08 oder T-APT-17) durchgeführt, die es auf Personen in Neuseeland, Indien, Pakistan und Großbritannien abgesehen hatte.
„Bitter nutzte verschiedene bösartige Taktiken, um Menschen online mit Social Engineering anzusprechen und ihre Geräte mit Malware zu infizieren“, so Meta in seinem vierteljährlichen Bericht über Bedrohungen durch Angreifer. „Sie nutzten eine Mischung aus Link-Verkürzungsdiensten, bösartigen Domains, kompromittierten Websites und Drittanbietern, um ihre Malware zu verbreiten.
Bei den Angriffen erstellten die Bedrohungsakteure fiktive Persönlichkeiten auf der Plattform und gaben sich als attraktive junge Frauen aus, um Vertrauen bei den Zielpersonen aufzubauen und sie dazu zu verleiten, auf gefälschte Links zu klicken, über die Malware verbreitet wurde.
Interessanterweise überzeugten die Angreifer ihre Opfer, eine iOS-Chat-Anwendung über Apple TestFlight herunterzuladen, einen legitimen Online-Dienst, der für Beta-Tests von Apps und für Feedback an App-Entwickler genutzt werden kann.
„Das bedeutete, dass die Hacker sich nicht auf Exploits verlassen mussten, um maßgeschneiderte Malware an die Ziele zu liefern, sondern dass sie offizielle Apple-Dienste nutzen konnten, um die App zu verbreiten, um sie legitimer erscheinen zu lassen, solange sie die Leute überzeugten, Apple Testflight herunterzuladen und sie dazu brachten, ihre Chat-Anwendung zu installieren“, so die Forscher.
Die genaue Funktionsweise der App ist zwar nicht bekannt, aber es wird vermutet, dass sie als Social-Engineering-Trick eingesetzt wurde, um die Opfer der Kampagne über ein zu diesem Zweck eingerichtetes Chat-Medium zu kontrollieren.
Darüber hinaus nutzten die Betreiber der Bitter APT eine bisher nicht dokumentierte Android-Malware namens Dracarys, die die Zugriffsrechte des Betriebssystems missbraucht, um beliebige Apps zu installieren, Audiodaten aufzuzeichnen, Fotos zu schießen und sensible Daten wie Anrufprotokolle, Kontakte, Dateien, Textnachrichten, Geolocation und Geräteinformationen von den infizierten Telefonen zu sammeln.
Dracarys wurde über trojanisierte Dropper-Apps verbreitet, die sich als YouTube, Signal, Telegram und WhatsApp ausgaben. Damit setzt sich der Trend fort, dass Angreifer zunehmend als legitime Software getarnte Malware einsetzen, um in mobile Geräte einzudringen.
Darüber hinaus stellte Meta fest, dass die Gruppe ihre Erkennungs- und Blockierungsbemühungen dadurch konterte, dass sie defekte Links oder Bilder von bösartigen Links in den Chat-Threads postete und die Empfänger aufforderte, den Link in ihren Browser einzugeben – ein Zeichen für die Anpassung der Angreifer.
Die Ursprünge von Bitter sind rätselhaft, denn es gibt nicht viele Anhaltspunkte, die auf ein bestimmtes Land schließen lassen. Es wird vermutet, dass er von Südasien aus operiert und vor kurzem auch militärische Einrichtungen in Bangladesch angegriffen hat.
Meta geht gegen Transparent Tribe vor
Das zweite Kollektiv, das von Meta ausgeschaltet wurde, ist Transparent Tribe (auch bekannt als APT36), eine hochentwickelte, hartnäckige Bedrohung, die angeblich von Pakistan aus operiert und mit maßgeschneiderten bösartigen Tools Regierungsstellen in Indien und Afghanistan angreift.
Letzten Monat hat Cisco Talos den Akteur mit einer laufenden Phishing-Kampagne in Verbindung gebracht, die auf Studenten verschiedener Bildungseinrichtungen in Indien abzielte.
Die jüngsten Angriffe deuten auf eine Verschmelzung hin, denn die Angreifer haben es auf Militärpersonal, Regierungsbeamte, Mitarbeiter von Menschenrechts- und anderen gemeinnützigen Organisationen sowie auf Studierende in Afghanistan, Indien, Pakistan, Saudi-Arabien und den Vereinigten Arabischen Emiraten abgesehen.
Die Zielpersonen wurden mit Hilfe von Fake-Personas sozialisiert, indem sie sich als Rekrutierer für legitime und falsche Unternehmen, als Militärangehörige oder als attraktive junge Frauen ausgaben, die auf der Suche nach einer romantischen Beziehung waren, und sie schließlich dazu verleiteten, Links mit Schadsoftware zu öffnen.
Die heruntergeladenen Dateien enthielten LazaSpy, eine modifizierte Version der Open-Source-Android-Überwachungssoftware XploitSPY, und nutzten außerdem inoffizielle WhatsApp-, WeChat- und YouTube-Klon-Apps, um eine andere Malware namens Mobzsar (auch bekannt als CapraSpy) zu verbreiten.
Beide Malware-Programme verfügen über Funktionen zum Sammeln von Anrufprotokollen, Kontakten, Dateien, Textnachrichten, Geolokalisierung, Geräteinformationen und Fotos sowie zur Aktivierung des Mikrofons des Geräts und sind damit effektive Überwachungswerkzeuge.
„Dieser Bedrohungsakteur ist ein gutes Beispiel für einen globalen Trend […], bei dem Gruppen mit geringem Kenntnisstand sich lieber auf offen verfügbare bösartige Tools verlassen, als in die Entwicklung oder den Kauf ausgefeilter Angriffsmöglichkeiten zu investieren“, so die Forscher.
Diese „einfachen, kostengünstigen Tools […] erfordern weniger technisches Fachwissen, bringen den Angreifern aber dennoch Ergebnisse“, so das Unternehmen und fügt hinzu: „Der Zugang zu Hacking- und Überwachungsmöglichkeiten wird demokratisiert, da die Einstiegshürde sinkt.