设为首页 - 加入收藏
广告 1000x90
您的当前位置:311211黄大仙生肖资料 > 卷回传播 > 正文

Tripoli:通过Facebook页面传播、针对利比亚人民的恶意软件攻击

来源:未知 编辑:admin 时间:2019-07-07

  近日,Check Point Research研究团队发现了一起大规模的攻击行动,该行动已存在多年,一直通过Facebook页面向用户传播恶意软件,且目标国家只有一个——利比亚。

  攻击者利用了利比亚紧张的政治局势,通过带有利比亚最新空袭或抓捕消息的钓鱼文档引诱受害者点击链接并下载恶意文件。

  我们的调查始于Facebook上一个伪装成利比亚国民军指挥官哈利法·哈夫塔(Khalifa Haftar)的个人页面。除了担任陆军元帅外,哈夫塔还是利比亚政治舞台上的一位重要人物,在利比亚持续不断的内战中,他作为一名军事领导人发挥了重要作用。

  通过此Facebook页面,我们追溯到了恶意活动背后的攻击者,并了解到他们多年来是如何利用社交网络平台、破坏合法网站来托管恶意软件的,并且我们发现,受害者成千上万,除了主要来自利比亚之外,在欧洲、美国和加拿大等地也有一些用户不幸中招。

  最后我们向Facebook上报了调查结果,Facebook对这些页面和账户做了封禁处理。

  这个伪装成哈利法·哈夫塔的Facebook主页创建于2019年4月初,自那以后已经吸引了超过1.1万名粉丝。该页面分享过一些政治主题的帖子,其中包括所谓“利比亚泄露情报”的下载网址,比如“揭露卡塔尔或土耳其等国密谋反对利比亚”的文件,还有一些下载链接指向了移动应用程序,名义上是为了有意加入利比亚武装部队的公民设计的:PHP大马

  但点击这些链接后将下载Windows环境下的恶意VBE或WSF文件,或是Android环境下的APK文件。威胁行为者选择的是开源工具而非自己开发的工具,并用一些已知的远程管理工具(rat),如Houdini、Remcos和SpyNote等来感染受害者。恶意样本通常存储在诸如Google Drive、Dropbox、Box等文件托管服务中。

  但Facebook页面的用户名(@kalifhafatr)却拼错了Haftar的名字,可能是攻击者有意为之。在网上查找该错名会得到一个同名的Blogger帐户,自2015年以来一直活跃,管理过多个博客主页:

  账号最近发表的文章中也使用了Haftar的名字,会在用户访问时自动下载恶意VBE:

  另一个能说明该页面存在问题的嫌疑是,几乎每篇文章中都有大量语法错误。哈夫塔的名字并不是Facebook页面上唯一的拼写错误,这些帖子中还有很多拼写错误的单词。下面是其中一篇文章,突出显示的都是语法上的错误:

  这些错误大部分都是重复的,有些帖子使用的单词在阿拉伯语中并不存在,因为作者原本就打算故意缺少某些字母(例如“Pove”而不是“Prove”)。

  通过查找一些错误措辞的组合,我们在Facebook的网页上看到了许多重复同样错误的帖子,似乎是由同一人所为。自2014年以来,有30多个Facebook个人主页一直在传播恶意链接,其中一些账号活跃多年,粉丝众多。以下是我们挖掘到的主页中最受欢迎的前五个:奇热影视

  回顾这些年来的活动我们发现,攻击者可能是在的最初所有者创建和操作主页一段时间后,再通过破坏管理员设备的方式获取这些页面的访问权限。这些人的主页涉及不同的主题,但它们有一个共同点,那就是目标受众都是利比亚人民。其中一些页面会模仿利比亚重要人物和领导人,另一些则涉及该国的某些政治活动或军事行动。

  这些年来,攻击者一共发布了40多个恶意链接。通过网页和链接之间的关系也能看出,恶意活动是高度交织的:

  由于攻击者使用了URL短链(bit.ly,goo.gl,tinyurl等),我们可以知晓每个链接的点击人数,某些情况下还可以知道这些用户来自哪个国家,以及他们的使用环境。大多数链接都有数千次点击,点击时间集中在链接创建和共享时:

  大多数受影响的用户来自利比亚,也有来自欧洲、美国和加拿大的受害者。下面的截图显示了其中一个链接,6500次点击中有5120次来自利比亚:

  为吸引关注者而不是仅仅通过分享恶意链接来引起他们的怀疑,这些页面还会发布利比亚的最新消息,多个主页会在同一天内重复发布:

  利比亚的动荡局势也使得关注该国动态的人群很成为攻击目标。由哈利法·哈夫塔领导的部队和由联合国支持的民选政府之间的冲突仍在继续,这些冲突甚至导致哈夫塔在4月领导了对首都的袭击。不过这一行动背后的攻击者似乎没有偏向哪一个政党。

  除了政治主题外,这些主页还会发表一些其他内容诱骗用户。2018年,攻击者用一个RAT伪装成能观看世界杯比赛的应用程序,还有伪装成VPN服务的RAT,最后用户下载的应用程序是SpyNote RAT的变种。

  总而言之,这表明幕后的威胁者对他们的目标受众非常了解,熟悉利比亚群众关心的内容,进而简单有效地传播恶意文件。

  大多数恶意文件都存储在Google Drive之类的云盘中,攻击者设法入侵了一些合法网站,包括俄罗斯、以色列和摩洛哥的数家新闻网站,最让人意外的是利比亚最大的移动运营商之一——Libyana的网站也被入侵了:

  Libyana的网站上有一个早在2014年就发布的RAR压缩文件下载链接,备注是运营商免费赠送的信用包,但实际上包含了一个恶意的执行文件:

  所有应用程序和VBE脚本都与同一个命令和控制服务器drpc.duckdns[.]org通信。

  域名解析为与另一个网站libya-10 [.] com [.] ly相关联的IP地址,此域还用作2017年分发的一些恶意文件的C&C。

  本网站的WHOIS信息显示它注册的电子邮件地址为drpc1070 @ gmail [.] com,该地址又能联系到其它域名:

  我们注意到,两个注册域名中都有“Dexter Ly”,在网上查了一下,找到了一个相应的Facebook账号,账号主人似乎也是利比亚人:

  而能将该账号与攻击者联系到一起的关键证据是,该账号的语法错误跟我们之前看过的如出一辙。该账号还开诚布公地分享了这一恶意活动的方方面面,包括受害者所在小组的截图:

  攻击者还分享了一些敏感信息,是通过感染受害者获得的,其中包括利比亚政府的秘密文件、交换的电子邮件、官员的电话号码,甚至还有官员护照的照片:

  其中一篇帖子表明攻击者自2013年开始网站入侵,并参与了OpSyria等行动。看看这些记录,我们可以看到,“Dexter Ly”当时的代号还是“Dr.Pc”:

  在此行动中,我们追踪到了几个看似无关的Facebook页面,通过一些细节将其联系了起来。我们也能够看到攻击者的演变,从早期破坏网站到能够运行更复杂的操作。

  尽管攻击者使用的工具本身并不先进,也不令人印象深刻,但使用定制的内容、合法的网站和拥有众多粉丝的高度活跃主页,简单的手法却异常有效,不光普通百姓,连政府高层也成了陷阱里的猎物。

  尽管袭击者没有一个明确的政治偏向,但他们的行动似乎确实受到了政治事件的推动,比如从多年前的OpSyria行动,以及到最近揭露利比亚政府的和个人信息的意愿中可见一斑。

  题目描述2011年3月16日以来,利比亚爆发的骚乱不断升级,已严重危及到普通民众和各国在利比亚工作的人员的安全。为了尽快救出在利比亚的同胞,根据利比亚的形势,我国政府告诉每个在利比亚的公民,如何行动才...博文来自:蒟蒻CZY

  这道题相比于平常的bfs走迷宫,多了一个,原来因为要维护步数优先的队列,所以先出队的元素永远处在步数+1的位置 但这个题由于杀死守卫需要多花一个步数,所以平常的队列不能做到按照这个,所以要使用到优先队...博文来自:CuriousLiu的博客

  在节点网络中,只有当graph[i][j]=1时,每个节点i能够直接连接到另一个节点j。一些节点initial最初被恶意软件感染。只要两个节点直接连接,且其中至少一个节点受到恶意软件的感染,那么两个节...博文来自:bingshen的专栏

  题意:在一些分散的图中,某些图中有某些节点是病原体,与这些节点在一个图中的所有节点都被感染了,现在求去掉一个原始病原体,使得最终所有图中感染的节点最少思路:bfs,然后找只有一个病原体的联通快的最大数...博文来自:lwgkzl的博客

  题目:在节点网络中,只有当 graph[i][j]=1 时,每个节点 i 能够直接连接到另一个节点 j。一些节点 initial 最初被恶意软件感染。只要两个节点直接连接,且其中至少一个节点受到恶意软...博文来自:lwgkzl的博客

  LeetCode924:尽量减少恶意软件的传播。C++解析题目如下:题目解析题目写的很难懂,表示看了几遍都不知道说的啥。用图表示就好理解了,先放图的表示方法,安利小甲鱼的数据结构与算法视频示例1用图表...博文来自:Doger12138的博客

  全球领先的网络安全和应用交付解决方案提供商Radware公司在上周四(5月10日)发出警告称,一个由该公司的两名安全研究人员AdiRaff和YuvalShapira最近发现的新型恶意软件家族已经在全球...博文来自:weixin_33834679的博客

  本文按照时间顺序整理了恶意软件攻防对抗近些年来的文献发表情况,希望能和对该领域感兴趣的研究人员做一个分享。有些文献我只是大概地浏览了一下,如下文有错误,请为我指出来,感激不尽!感兴趣的朋友可以在评论里...博文来自:ScottYuan

  在这篇文章里,我们为各位归纳了5种现代恶意软件常见的规避技术,以及它们是如何战胜传统恶意软件防御措施的。恶意软件是数据泄露的重要载体。研究表明,无论是最初的入侵、在网络中扩展或者是窃取数据,51%的数...博文来自:javaxiaoheibai的博客

  根据国外报道,最近的研究,加密挖掘矿工针对物联网(IoT)攻击日益猖獗,勒索软件正在经历根据“市场”进行“策略性调整”。正如TechRepublic所指出的那样,互联网安全威胁的新数据显示,加密挖掘矿...博文来自:hezijin的专栏

  Android恶意软件具备的特征,恶意软件分类博文来自:ybdesire的专栏

  题目描述:2011年3月16日以来,利比亚爆发的骚乱不断升级,已严重危及到普通民众和各国在利比亚工作的人员的安全。为了尽快救出在利比亚的同胞,根据利比亚的形势,我国政府告诉每个在利比亚的公民,如何行动...博文来自:JZHu_Ming_Han的博客

  以下内容来自雪城大学SEED(SEcurityEDucation)项目中的Android重打包实验。1、首先看下Android开发和重打包过程重打包流程2、如何注入代码到正常的APP中修改源程序的sm...博文来自:weixin_34268753的博客

  点击上方“CSDN”,选择“置顶公众号”关键时刻,第一时间送达!昨日,根据卡巴斯基实验室公布的一份报告,研究人员发现了一款相当强悍的恶意软件,名为“Skygofree”的App,能够监视基于位置的录音...博文来自:CSDN资讯

  1CAM表溢出攻击与端口安全        当与交换机相连的设备箱交换机发送数据帧时,交换机会立刻将数据帧的源MAC地址与接收到该数据帧的端口作为一个条目保存到CAM表中。        溢出攻击:当...博文来自:Q1n6

  姓名:张安琪 学号:转载自:,有删节。【嵌牛导读】:本文将为您...博文来自:weixin_33672400的博客

  APT攻击APT攻击是近几年来出现的一种高级攻击,具有难检测、持续时间长和攻击目标明确等特征。本文中,整理了近年来比较典型的几个APT攻击,并其攻击过程做了分析(为了加深自己对APT攻击的理解和学习)...博文来自:AoChengKaos Blog

  来源WIRED责编Aholiab出品区块链大本营(blockchain_camp)众所周知,我们在社交网站上和智能设备上产生的数据正变得越来越有价值,很......博文来自:区块链大本营

  对策:1:停止运行不需要的软件2:定期实施漏洞防范措施3:对不需要对外公开的端口或者服务加以访问限制,   通过端口扫描确认各端口服务状态(工具:Nmap(windows版))4:提高认证强度(htt...博文来自:liufangaliya的专栏

  我的安全部署流程:第一步:上传文件检测;第二步:用户提交数据SQL注入检测,过滤脚本标签;第三步:McAfee高级防御,创建以服务器网站语言相关的安全策略!创建以网站文件目录的安全策略;第四步:安装安...博文来自:橙cplvfx-景安服务器代理,技术踩坑记

  个人主页与公共主页个人主页与公共主页的区别还是很大,而且公共主页是需要用户自己开通的。详细信息可以打开这个链接,里面也有具体的创建方法。实现try{mContext.getPackageManager...博文来自:singleton

  网络安全是当前一个非常热门的话题,网络泄密、系统瘫痪、斯诺登事件……都在不断挑战所有人互联网人的神经。大家都在担忧自己的隐私会不会被泄露出去,公司的敏感信息怎么来保护。当然,这也是一个非常好的现象,说...博文来自:wangpeng198688的专栏

  参考:打开metasploit:查看被攻击机的ip:攻击机ip:MS08_067漏洞是著名的远程溢...博文来自:WittPeng的博客

  网站提示“访问网站包含恶意软件”怎么申诉移除看这个贴一下站长工具地址http...博文来自:newmiracle学习天地

  一、Web应用安全威胁分为如下六类:Authentication(验证)用来确认某用户、服务或是应用身份的攻击手段。Authorization(授权)用来决定是否某用户、服务或是应用具有执行请求动作必...博文来自:weixin_33726943的博客

  通过统计原著里每个人物相关的形容词,用这些形容词来描绘出一个简单的人物形象。侯亮平是个年轻的检察官,为人诚恳踏实,爱好一边做饭一边吹口哨,工作中却能平静沉稳,善于处理复杂关系,但是经常通宵审讯,也会感...博文来自:weixin_34235105的博客

  原创:aqniu安全牛全球互联网走向全面加密时代已经是大势所趋。但在加密访问可保障通讯安全的情况下,绝大多数网络设备对网络攻击、恶意软件等加密流量却无能为力。攻击者利用SSL加密通道完成恶意软件载荷和...博文来自:liqiuman180688的博客

  匿名通信攻击技术匿名通信攻击可以分为针对网络流量的攻击:通常基于流量分析技术,即通过嗅探并分析网络通信流量的各自模式,以获取现有价值;针对节点的攻击:主要是匿名通信节点系统和协议存在漏洞的利用。网络流...博文来自:学习中

  1.恶意文件的传统检测方法  恶意文件检测在机器学习方法流行之前,一直是杀毒引擎的黑箱技术,很少为外界所周知。对于一般粗浅的应用者而言,最简单的做法是有两种:  1.寻找各种开源的病毒库或者威胁情报网...博文来自:zourzh123的专栏

  2017年12月,安全研究人员发现了一款针对工控系统安全仪表系统(SIS)的恶意软件“TRITON”,该软件以施耐德电气Triconex安全仪表控制系统为目标展开攻击,目前已造成中东多家能源工厂停产,...博文来自:DWY-安全创造价值

  前言:针对云环境的新型攻击方式可能尚未引起安全团队的重视,但这些攻击所造成的影响可能是灾难性的。跨云攻击安全公司ShieldX的Nedbal说,网络攻击者通常使用公有云环境渗透到本地数据中心。当客户将...博文来自:featherli2016的博客

  一 在公钥注册之前攻击证书是认证机构对公钥及其持有者的信息加上数字签名的产物,由于加上数字签名之后会非常难以攻击,因此我们可以考虑对施加数字签名之前的公钥进行攻击。假设Bob生成了密钥对,并准备在认证...博文来自:实践求真知

  文件上传注入攻击系统管理员都有过系统被上传后门、木马或者是网页被人篡改的经历,这类攻击大部分是通过文件上传来是实现的。文件上传漏洞是指网络攻击者上传了一个可执行文件到服务器并执行。这里上传的文件可以是...博文来自:vergilben的学习日记

  作者吴睿编辑VincentAI前线出品|ID:ai-frontAI前线导语:“全球正在经历一场由科技驱动的数字化转型,传统技术已经不能适应病毒数量飞速增长的发展态势。而基于沙箱的检测方案无法满足A...博文来自:weixin_34114823的博客

  为了解决传统服务器的互操作性问题,许多TLS客户端实现不依赖于TLS协议版本协商机制,而是在初始握手尝试失败时有意使用降级协议重新连接。这样的客户端可能会退回到它们宣布版本低至TLS1.0(或甚至其前...博文来自:Joes Blog

  今天有蝉知建站系统的客户反映,他的站点在用谷歌浏览器访问时提示“您要访问的网站包含恶意软件”,而是用其他的浏览器访问显示正常,红通通的页面并未让用户感到一丝喜庆。问题原因:出现这个问题的原因有很多,遇...博文来自:蝉知系统博客

  ##检测方法文件hash比较以及fuzzyhash([已知文件未知文件])(ssdeep)代码特征值,危险函数检测(yara)最开始的思路就是调用yara和ssdeep这两个程序进行检测,但是后来发...博文来自:帮助别人等于帮助自己 ——MXi4oyu

  2018体系结构安全大作业申明:转载请注明出处恶意软件检测技术综述摘要本文介绍了恶意软件、恶意软件探测技术和探测器的定义,以及研究它们的现实意义。概述了恶意软件探测技术的具体分类和各个类别的研究现状。...博文来自:vivid_moon的博客

  参考资料本代码是参考乌云上的一篇文章实现的,链接如下:,实现了它关于特征提取的想法,如...博文来自:燃烧杯的博客

  一 对RSA的攻击1 密码破译者知道的信息密文:可以通过窃听来获取。数E和N:公钥是公开的信息,因此密码破译者知道E和N。 2 密码破译者不知道的信息明文:需要破译的内容。数D:私钥至少D是不知道的信...博文来自:实践求真知

  帐号相关流程注册范围n企业n政府n媒体n其他组织换句话讲就是不让个人开发者注册。 :)填写企业信息不能使用和之前的公众号账户相同的邮箱,也就是说小程序是和微信公众号一个层级的。填写公司机构信息,对公账...博文来自:小雨同学的技术博客

  jquery/js实现一个网页同时调用多个倒计时(最新的)nn最近需要网页添加多个倒计时. 查阅网络,基本上都是千遍一律的不好用. 自己按需写了个.希望对大家有用. 有用请赞一个哦!nnnn//jsn...博文来自:Websites

  command窗口是命令窗口,即为sqplus窗口,有命令提示符,识别sqlplus命令,基本的命令都可以执行nsql仅可执行DDL、select、DML等...博文来自:Ape55的博客

  对象的创建和销毁在一定程度上会消耗系统的资源,虽然jvm的性能在近几年已经得到了很大的提高,对于多数对象来说,没有必要利用对象池技术来进行对象的创建和管理。但是对于有些对象来说,其创建的代价还是比较昂...博文来自:赶路人儿

  扫二维码关注,获取更多技术分享nnn 本文承接之前发布的博客《 微信支付V3微信公众号支付PHP教程/thinkPHP5公众号支付》必须阅读上篇文章后才可以阅读这篇文章。由于最近一段时间工作比较忙,...博文来自:Marswill

  记得很早以前公司项目中添加过移动支付这一块, 包括微信,支付宝,银联等第三方的整合。 但是后来懒于总结就没留下什么, 最近公司项目打算添加,所以打算简单总结一下,记上一笔以备将来使用。 毕竟第三方的支...博文来自:samuelnotes的专栏

  本篇文章是根据我的上篇博客,给出的改进版,由于时间有限,仅做了一个简单的优化。相关文章:将excel导入数据库2018年4月1日,新增下载地址链接:点击打开源码下载地址十分抱歉,这个链接地址没有在这篇...博文来自:Lynn_Blog

  最近比较有空,大四出来实习几个月了,作为实习狗的我,被叫去研究Docker了,汗汗!nnDocker的三大核心概念:镜像、容器、仓库n镜像:类似虚拟机的镜像、用俗话说就是安装文件。n容器:类似一个轻量...博文来自:我走小路的博客

  weixin_44984291:360公司跟华为公司合作,创制出真正的国产手机

  zhp678321:好文,因为我们的服务器也中了此招,阴魂不散快1年了,感谢作者的细致分享!

本文链接:http://homehelp4u.net/juanhuichuanbo/467.html

相关推荐:

网友评论:

栏目分类

现金彩票 联系QQ:24498872301 邮箱:24498872301@qq.com

Copyright © 2002-2011 DEDECMS. 现金彩票 版权所有 Power by DedeCms

Top