日前,360威胁情报中心追日团队发布《人面狮行动报告》,披露了活跃在中东地区的网络间谍活动。幕后组织利用Facebook等社交网络进行水坑攻击,以窃取敏感数据信息。主要目标涉及埃及、以色列等国家的多个组织。
这是继有洋葱狗行动、美人鱼行动以及Swift攻击之后,360追日团队再度发现发生在海外的APT高级攻击活动。
据360威胁情报中心追日团队负责人田阗介绍,传统上的水坑攻击需要获得攻击目标关注网站的修改权限,人面狮行动中的攻击组织则完全是利用目标所关注的第三方社交网络平台进行攻击——攻击者只需简单注册,获得留言评论等权限,就可以进行攻击。
在以色列军队Facebook主页等多个账号的评论中,360安全研究员发现攻击者发表回复,诱导用户点击。其中包含内容为“个人所得税改革”的希伯来语诱饵文档,用户一旦点击就会中招。
Facebook样本来源
攻击者窃取的用户信息,比如系统信息、键盘和鼠标记录、skype监控、摄像头和麦克风监控、浏览器保存的账号密码,以及URL、浏览历史记录等敏感信息。收集信息后会加密并发送到指定C&C。
根据报告,攻击活跃时间主要集中在2014年6月到2015年11月期间,相关攻击活动最早可以追溯到2011年12月。主要采用利用社交网络进行水坑攻击,截止到目前我总共捕获到恶意代码样本314个,C&C域名7个。
社交媒体日益普及,已成为新闻主要来源和沟通重要工具。《人面狮行动报告》的发布表明,社交媒体的风险不再局限于信息泄露,现在已经成为APT等高级攻击的重要途径。
据田阗介绍,攻击组织选择采用社交媒体评论方式进行攻击,这种方式门槛和成本更低,同时说明可能比钓鱼邮件和网站水坑攻击也更有效。
截至目前,360追日团队还没在国内发现同源威胁。但田阗提醒国内互联网用户在使用社交媒体时,同样要保持谨慎,不要轻易点击来历不明或评论中的链接。
