14.5 C
Paris
24 août 2019
Actu Sécurité

[Opération tripoli] Plusieurs pages Facebook attrapées en train de propager des chevaux de Troie d’accès à distance depuis 2014

Check Point Research est récemment tombé sur une campagne à grande échelle qui utilisait depuis des années des pages Facebook pour propager des programmes malveillants dans des environnements de bureau et mobiles, avec un seul pays cible en tête: la Libye.

Il semble que la situation politique tendue en Libye soit utile à certains, qui l’utilisent pour inciter les victimes à cliquer sur des liens et à télécharger des fichiers censés informer du dernier raid aérien dans le pays ou de la capture de terroristes, mais plutôt contenir des logiciels malveillants.

Notre enquête a commencé lorsque nous sommes tombés sur une page Facebook se faisant passer pour le commandant de l’armée nationale libyenne, Khalifa Haftar. En plus d’être un maréchal, Haftar est une figure importante de l’arène politique libyenne et a joué un rôle majeur en tant que chef militaire de la guerre civile en cours dans le pays.

Grâce à cette page Facebook, nous avons pu retracer cette activité malveillante jusqu’à l’attaquant responsable et découvrir comment ils tiraient parti de la plate-forme de réseautage social pendant des années, en compromettant des sites Web légitimes pour héberger des logiciels malveillants. , ont transporté avec succès des dizaines de milliers de victimes principalement en Libye, mais également en Europe, aux États-Unis et au Canada.

Sur la base des informations que nous avons partagées, Facebook a supprimé les pages et les comptes qui distribuent les artefacts malveillants appartenant à cette opération.

Au nom de Haftar

La page Facebook se faisant passer pour Khalifa Haftar a été créée début avril 2019 et a depuis réussi à recruter plus de 11 000 abonnés. La page partage des publications qui ont des thèmes politiques et incluent des URL pour télécharger des fichiers commercialisés comme des fuites provenant des unités de renseignement libyennes.

La description dans les messages affirme que ces fuites contiennent des documents révélant des pays comme le Qatar ou la Turquie conspirant contre la Libye, ou des photos d’un pilote capturé qui a tenté de bombarder la capitale, Tripoli.

Certaines des URL étaient même supposées déboucher sur des applications mobiles destinées aux citoyens souhaitant rejoindre les forces armées libyennes:

Mais au lieu du contenu promis dans les articles, les liens téléchargeraient des fichiers VBE ou WSF malveillants pour les environnements Windows et des fichiers APK pour Android.

L’acteur menaçant a opté pour des outils open source au lieu de développer les leurs, et a infecté les victimes avec des outils d’administration à distance connus, tels que Houdini, Remcos et SpyNote, souvent utilisés dans les attaques banales.

Dans notre cas, les échantillons malveillants seraient généralement stockés dans des services d’hébergement de fichiers tels que Google Drive, Dropbox, Box, etc.

En dehors de Facebook

Le nom d’utilisateur figurant dans l’adresse Web de la page (@kalifhafatr) indique le nom de Haftar, et une recherche en ligne conduit à un compte Blogger du même nom. Ce compte est actif depuis 2015 et gère plusieurs pages de blog:

Le blog le plus récent publié par ce compte utilise également le nom de Haftar et télécharge automatiquement un VBE malveillant lors de son accès:

Erreurs grammaticales et cadeaux

Un autre signe d’alerte sur la légitimité de la page est la quantité d’erreurs grammaticales trouvées dans presque tous les messages. Le nom de Haftar n’était pas la seule chose mal orthographiée sur la page Facebook, car les messages comprenaient de nombreux mots mal orthographiés, des lettres manquantes et des fautes de frappe répétées en arabe. Ci-dessous se trouve l’un des messages de la page, avec toutes les erreurs grammaticales mises en évidence:

La plupart de ces erreurs sont répétitives et certains messages utilisent des mots qui n’existent pas en arabe, car les lettres initialement prévues manquent certaines lettres (par exemple “ Pove ” au lieu de “ Prove ”). Ces erreurs d’orthographe ne peuvent pas être générées par les moteurs de traduction en ligne et peuvent indiquer que le texte a été écrit par un locuteur arabe.

La recherche de combinaisons de phrases incorrectes nous a conduits à de nombreux messages sur un réseau de pages Facebook qui répètent les mêmes erreurs uniques. Ces pages semblaient être opérées par le même acteur menaçant et révélaient une opération généralisée en cours après les Libyens et les personnes intéressées par la politique libyenne depuis des années.

Un vaste réseau de pages Facebook

En recherchant les erreurs uniques, nous avons pu trouver plus de 30 pages Facebook qui propagent des liens malveillants depuis au moins 2014. Certaines de ces pages sont extrêmement populaires, actives depuis de nombreuses années et suivies par plus de 100 000 utilisateurs. utilisateurs. Vous trouverez ci-dessous les cinq pages Facebook les plus populaires utilisées lors de cette attaque, ainsi que le nombre d’abonnés de chacune d’elles:

Au fil des ans, il semble que l’acteur de la menace ait eu accès à certaines pages après leur création et leur exploitation par les propriétaires d’origine pendant un certain temps (peut-être en compromettant un appareil appartenant à l’un des administrateurs).

Les pages traitent de différents sujets, mais ils ont en commun l’audience qu’ils semblent viser: les Libyens. Certaines des pages imitent des personnalités et des dirigeants libyens importants, d’autres soutiennent certaines campagnes politiques ou opérations militaires dans le pays, et la majorité sont des pages d’actualités de villes comme Tripoli ou Benghazi.

Au total, l’attaquant a utilisé plus de 40 liens malveillants au cours des années, qui ont été partagés dans ces pages. Lors de la visualisation des connexions entre les pages et les URL utilisées dans les différentes phases de cette opération, nous avons constaté que l’activité malveillante était étroitement liée, car de nombreux liens étaient disséminés sur plus d’une page:

Ciblage réussi

Étant donné que l’attaquant utilisait des services de réduction d’URL (bit.ly, goo.gl, tinyurl, etc.), nous pouvions savoir combien de personnes avaient cliqué exactement sur chaque lien. Dans certains cas, nous avons même pu voir de quel pays provenaient ces utilisateurs et quel environnement ils utilisaient. La majorité des URL ont généré des milliers de clics, principalement au moment de leur création et de leur partage:

Les sites référant à ces URL sont principalement des domaines appartenant à Facebook, ce qui peut indiquer que le réseau social est le vecteur d’infection le plus couramment utilisé lors de cette attaque:

Bien qu’un clic ne signifie pas une infection réussie, cela confirme notre suspicion quant au ciblage de cette campagne et confirme que la plupart des utilisateurs affectés viennent effectivement de Libye; Cependant, il y a eu des victimes d’Europe, des États-Unis et du Canada. La capture d’écran suivante montre les statistiques d’un lien sur lequel on a cliqué environ 6 500 fois, dont 5 120 provenaient de Libye:

Politique libyenne 101

Pour engager les adeptes et ne pas éveiller leurs soupçons en ne partageant que des liens malveillants, les pages devraient également publier des mises à jour sur les événements les plus récents en Libye. Comme pour les URL malveillantes, les mêmes publications seraient également copiées sur plusieurs pages le même jour:

Compte tenu de la situation fragile de la Libye, ces informations constituent un appât efficace pour les personnes souhaitant suivre les dernières mises à jour du pays. Des conflits sont en cours entre les forces dirigées par Khalifa Haftar (Armée nationale libyenne) et le gouvernement élu soutenu par les Nations Unies. Ces conflits ont même amené Haftar à mener une attaque contre la capitale en avril.

Cela pourrait expliquer pourquoi l’acteur de la menace choisit ces thèmes et astuces d’ingénierie sociale pour persuader facilement les utilisateurs de cliquer sur les URL et d’exécuter les fichiers.

Malgré cela, il ne semble pas exister de propagande cachée derrière cette activité, l’attaquant ne semblant pas favoriser un parti politique par rapport à un autre. Par exemple, l’une des pages impliquées soutient le Premier ministre libyen Fayez al-Serraj, considéré comme l’adversaire de Khalifa Haftar.

Curieusement, l’une des pages dont le nom est « Nous nous tenons tous aux côtés du général major Khalifa Haftar » a partagé un article qualifiant Haftar de criminel:

En règle générale, le contenu du programme comporte un agenda national qui vise avant tout le plus grand bien de la Libye et met en garde contre les menaces externes ou internes.

Les postes politiques présentaient des exceptions, bien qu’ils utilisaient toujours les centres d’intérêt communs des victimes. En 2018, l’un des RAT mobiles se présentait comme une application qui permet à ses utilisateurs de regarder gratuitement les matchs de la Coupe du monde de football. Dans un autre cas, une application offrait des services VPN qui permettraient d’accéder à tous les sites bloqués dans le pays: (les applications téléchargées étaient des variantes du SpyNote RAT)

Globalement, cela suggère que l’acteur de la menace derrière cela s’est servi de sa connaissance du public cible et qu’il savait ce que les victimes libyennes risqueraient de cliquer ou de télécharger, ce qui leur permettrait de diffuser les fichiers à l’aide de méthodes simples mais efficaces.

Sites Web compromis

Bien que la plupart des fichiers malveillants soient stockés dans des services tels que Google Drive, l’attaquant a parfois réussi à compromettre des sites Web légitimes et à y héberger des fichiers malveillants. Cela comprenait un site Web russe, un site israélien et un site d’informations marocain:

Le plus intéressant était peut-être le site Web de Libyana, l’un des plus grands opérateurs de téléphonie mobile en Libye:

Cette grande société a été compromise et son site Web hébergeait une archive RAR en 2014. Cette archive figurait sur certaines pages comme un package de crédits offert gratuitement par l’opérateur de téléphonie mobile, mais qui contenait en fait un fichier exécutable .NET malveillant:

Traquer l’attaquant

Toutes les applications et tous les scripts VBE partagés par la page initiale étudiée communiquaient avec le même serveur de commandes et de contrôle: drpc.duckdns [.] Org.

À un moment donné, le domaine a été résolu en une adresse IP associée à un autre site Web: libya-10 [.] Com [.] Ly. Ce domaine a également été utilisé en tant que C & C dans certains des fichiers malveillants distribués en 2017.

Les informations WHOIS de ce site Web indiquent qu’il a été enregistré à l’aide de l’adresse de messagerie drpc1070 @ gmail [.] Com, qui était associée à d’autres domaines:

“Dexter Ly”, utilisé dans deux des domaines enregistrés ci-dessus, est l’actuel avatar de l’attaquant. La recherche en ligne nous a conduit à un compte Facebook sous ce nom, qui appartient à l’attaquant, qui semble être d’origine libyenne:

Ce récit répète les mêmes fautes de frappe que nous avons observées dans les pages concernées, ce qui nous permet d’évaluer avec une grande confiance que c’est la même personne qui a rédigé le contenu des articles. Le compte a également ouvertement partagé presque tous les aspects de cette activité malveillante, y compris des captures d’écran des panneaux où les victimes étaient gérées:

L’agresseur a partagé des informations sensibles qu’il a pu mettre la main sur la contamination des victimes. Cela incluait des documents secrets appartenant au gouvernement libyen, des courriels échangés, des numéros de téléphone appartenant à des responsables et même des photos de leurs passeports:

Un lien dans l’un des messages a conduit à l’historique de dégradation du site Web de l’attaquant à partir de 2013, montrant que l’attaquant a participé à des opérations telles que OpSyria. En regardant ces enregistrements, nous pouvons voir que l’avatar «Dr.Pc» (qui apparaît dans les nouvelles informations C & C et WHOIS) a été utilisé à l’époque au lieu de «Dexter Ly»:

Conclusion

En mappant cette activité, nous avons été en mesure de retracer plusieurs pages Facebook apparemment sans rapport suivies par des milliers d’utilisateurs et de constater que l’attaquant les utilisait pour exploiter un programme malveillant. Nous avons également pu observer l’évolution de cet attaquant depuis les premiers jours de la dégradation de sites Web jusqu’à la possibilité de mener une opération plus sophistiquée.

Bien que l’ensemble des outils utilisés par l’attaquant ne soit ni avancé ni impressionnant en soi, l’utilisation de contenu personnalisé, de sites Web légitimes et de pages très actives avec de nombreux abonnés facilitait beaucoup l’infection potentielle de milliers de victimes. Le matériel sensible partagé dans le profil «Dexter Ly» implique que l’attaquant a également réussi à infecter des responsables de haut rang.

Bien que l’attaquant ne soutienne aucun parti politique ni aucune des parties en conflit en Libye, leurs actions semblent être motivées par des événements politiques. Cela peut s’expliquer par la participation à des opérations comme OpSyria il y a quelques années, ainsi que par la volonté de révéler des documents secrets et des informations personnelles volées au gouvernement libyen. Ceci est juxtaposé avec le ciblage constant des victimes libyennes, mais pourrait signifier que l’attaquant poursuit certains individus au sein de la foule.

Indicateurs de compromis

drpc.duckdns [.] org

libya-10 [.] com [.] ly

kalifhaftar [.] blogspot [.] com

libyanews111 [.] blogspot [.] com

goo [.] gl / wBSkdh

goo [.] gl / kTxPjR

goo [.] gl / RQCdYS

goo [.] gl / nGWjRb

goo [.] gl / 7dJWTD

goo [.] gl / nEvL9B

goo [.] gl / yMaSa2

goo [.] gl / so0ZQv

goo [.] gl / ssg3F5

goo [.] gl / ieUZJH

bit [.] ly / 1LVdtNP

bit [.] ly / 2cQBSxE

bit [.] ly / 1MzGMq8

bit [.] ly / 2tzu4Gb

bit [.] ly / 2sudDeR

bit [.] ly / 2r4Zw0D

bit [.] ly / 2oDyR9W

bit [.] ly / 2namqlt

bit [.] ly / 2nLTmO6

bit [.] ly / 2jlUZUV

bit [.] ly / 2oN3DOT

bit [.] ly / 2k0cR8i

bit [.] ly / 2o0q7dW

bit [.] ly / 2lJlu2Q

bit [.] ly / 2aJIf6W

bit [.] ly / 2s9NYaw

bit [.] ly / 2D5KRaV

bit [.] ly / 2nRVtA6

bit [.] ly / 2ZbTVEo

bit [.] ly / 2uZwNew

bit [.] ly / 2UwHoNf

bit [.] ly / 2UaG913

bit [.] ly / 2VDLT4X

bit [.] ly / 2I3JxJL

bit [.] ly / 2U86NYk

bit [.] ly / 2G7ji2Z

cutt [.] us / 88D9S

tinyurl [.] com / jdndrea

aarasid [.] com / libya / index.html

sirtggp [.] com / libyanew / index.html

clientstats [.] epss [.] org [.] ly / E-Care

libyana [.] ly / libyana.rar

76d14a79e2be1543ab79873e7b87f0deee8aad17 
21f9a82d04fdf3b6c58ac470d970d43ba6e567bd 
05aba51baa275677f637cecc2a615b65ba940291 
43fe796c59d9904a8a12f91588e53e931bcc2690 
ea273ac505505ebbc2cba716922ad9bcec385aa8 
2e18ec1c14381d97b9202e20f5962189cec49d8e 
f0e1e62bed46a85ede82423fab40f6c2bc71de21 
07f1b0a4a47726bf853793adf3d02b8d1b341f30 
edd1df11ba59cc15f5b7fceb845097fa308baf93 
3a5f33dea709de482e477ffdacda60c6b36002df 
26e52120f02de03da00a39329bfa311dc22aeab8 
3aada37272e2f2d900d95bc1b0ee5ce8634e90ae 
587711daaced49c3613f93b87a910c09f89b4595 
02c6d99c677ffa78a7deff7405c0800fe780e2d3 
a85dfa2f781c248be2046424a3c7e329af370e26
0ea9c9be1cebb6542619dd69732689beacf1a262 
aee4156d4871f4bd9188076f6e20dafede5fb6ac 
7c0ae04b61e4ac9c6713769594e1d1d49b27631b 
096ef1ef526265e80fb41d45344469a30a83c67b 
4bd4db3281c0e95983efe26261db1eb49bf59ba7 
9193ba6c5674de1d5f1412231aab7766ebea7f98 
0cdca63826c515720f0fb994437dd9a056a90dfa 
7a4303a775a0b13af53e13dc640589bc9f129117 
3bafa8a27e7309c1cf4b53a30d14b27aa9eb943e

Related posts

Nouveaux outils de piratage lancant Crypto-Malware par Exploit une vulnérabilité de serveur Windows SMB

chrn0s

Sites porno : 93% partagent vos données intimes avec des tiers

mr robot

[AUSTRALIE] Des dizaines d’oiseaux tombent du ciel en hurlant et en saignant des yeux mystérieusement.

mr robot

Laissez un commentaire

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désabonner si vous le souhaitez. Accepté Lire la suite

Politique de confidentialité et cookies