最近發(fā)現(xiàn)了一種新型網(wǎng)絡(luò)攻擊��,它通過使用一個(gè)名為FriarFox的惡意Mozilla Firefox瀏覽器擴(kuò)展插件來(lái)控制受害者的Gmail帳戶。
研究人員說(shuō)���,在1月和2月觀察到的針對(duì)西藏的攻擊活動(dòng)與TA413組織有關(guān)����,TA413是一個(gè)高級(jí)持續(xù)威脅(APT)組織���。
研究人員說(shuō)���,這種攻擊的幕后組織打算通過監(jiān)視受害者的Firefox瀏覽器數(shù)據(jù)和Gmail信息來(lái)收集受害者的隱私。
安裝擴(kuò)展插件后�����,F(xiàn)riarFox會(huì)允許網(wǎng)絡(luò)犯罪分子對(duì)用戶的Gmail賬戶和Firefox瀏覽器的數(shù)據(jù)進(jìn)行各種各樣的控制��。
例如�,網(wǎng)絡(luò)犯罪分子能夠搜索�����、閱讀����、標(biāo)記�、刪除��、轉(zhuǎn)發(fā)和存檔郵件����,接收Gmail通知,并使用受害者的賬戶來(lái)發(fā)送郵件����。而且,根據(jù)用戶的Firefox瀏覽器的訪問權(quán)限���,他們可以進(jìn)行訪問所有網(wǎng)站的用戶數(shù)據(jù)�,顯示通知�,讀取和修改隱私設(shè)置,訪問瀏覽器標(biāo)簽等操作�����。
Proofpoint周四表示:'盡管TA413組織的攻擊工具在技術(shù)上是有限的�,但是TA413組織通過開發(fā) FriarFox惡意瀏覽器擴(kuò)展,進(jìn)一步豐富了TA413組織的攻擊工具的種類��。
網(wǎng)絡(luò)攻擊源于惡意電子郵件
此次攻擊源于幾個(gè)針對(duì)西藏政府組織的釣魚郵件(1月下旬首次發(fā)現(xiàn))。研究人員發(fā)現(xiàn)其中一封郵件聲稱是來(lái)自 '西藏婦女協(xié)會(huì)'��,這是一個(gè)真實(shí)合法的組織�。郵件的主題是 '西藏內(nèi)部和西藏交流社區(qū)。'
研究人員注意到�����,這些郵件都是從一個(gè)TA413的目前已知的 Gmail賬戶發(fā)出的��,該賬戶已經(jīng)使用了很多年了��。
研究人員說(shuō)��,這封郵件冒充了達(dá)賴?yán)镛k事處的身份來(lái)進(jìn)行詐騙攻擊���。
這些郵件中都包含了一個(gè)惡意的URL�����,它冒充了一個(gè)YouTube的頁(yè)面(hxxps://you-tube[.]tv/)。實(shí)際上���,這個(gè)鏈接會(huì)將收件人引導(dǎo)到一個(gè)偽造的Adobe Flash Player更新的登陸頁(yè)面���,在這里受害者會(huì)下載惡意瀏覽器擴(kuò)展����。
偽造的Adobe Flash Player頁(yè)面
然后����,這個(gè)惡意的 '更新 '頁(yè)面會(huì)執(zhí)行幾個(gè)JavaScript文件,這些文件會(huì)對(duì)用戶的系統(tǒng)進(jìn)行分析�,并判斷是否能夠安裝惡意的FriarFox擴(kuò)展,F(xiàn)riarFox能否安裝取決于很多條件�。
研究人員說(shuō):'網(wǎng)絡(luò)攻擊者似乎是在針對(duì)Firefox瀏覽器的用戶進(jìn)行攻擊,并在該瀏覽器中對(duì)Gmail的信息進(jìn)行監(jiān)視��,用戶必須從Firefox瀏覽器訪問URL才能下載該瀏覽器擴(kuò)展�����。此外�,用戶必須使用該瀏覽器主動(dòng)登錄Gmail賬戶,才能成功的安裝上惡意插件��。'
如果瀏覽器和Gmail服務(wù)器有數(shù)據(jù)的傳輸���, 瀏覽器會(huì)把Firefox用戶引導(dǎo)到FriarFox擴(kuò)展的下載頁(yè)面(hxxps://you-tube[.]tv/download.php)�,并提示用戶可以從該網(wǎng)站下載插件。
在這里頁(yè)面會(huì)提醒用戶添加瀏覽器擴(kuò)展(通過批準(zhǔn)擴(kuò)展的權(quán)限)�����,該擴(kuò)展聲稱是 'Flash的更新組件'�����。
犯罪分子還會(huì)利用各種技巧來(lái)對(duì)付那些沒有使用Firefox瀏覽器或沒有激活Gmail會(huì)話的用戶�����。
例如�����,一位沒有使用Gmail賬戶且沒有使用Firefox的用戶在訪問了假的Adobe Flash Player的登陸頁(yè)面后����,他被重定向到了合法的YouTube登錄頁(yè)面。然后�,該攻擊者會(huì)試圖訪問網(wǎng)站上正在使用的活動(dòng)域的cookie。
研究人員表示���,'在使用Gsuite賬號(hào)登錄用戶的YouTube賬戶的情況下���,攻擊者可能會(huì)試圖利用這個(gè)域的cookie來(lái)訪問用戶的Gmail賬戶。'�����。然而��,'此時(shí)�,該用戶并沒有被瀏覽器引導(dǎo)到FriarFox瀏覽器擴(kuò)展下載的頁(yè)面'。
FriarFox瀏覽器擴(kuò)展的惡意功能
研究人員表示����,F(xiàn)riarFox似乎是基于一個(gè)名為 'Gmail Notifier(restartless)'的開源工具而開發(fā)的。這是一個(gè)免費(fèi)的工具��,我們可以在很多網(wǎng)站上找到�����,包括GitHub�����,Mozilla Firefox瀏覽器插件商店和QQ應(yīng)用商店等����。研究人員指出����,這個(gè)惡意擴(kuò)展插件也是以XPI文件的格式出現(xiàn)的�。這個(gè)文件格式是Mozilla瀏覽器所使用的插件的專有格式。
研究人員說(shuō):'TA413網(wǎng)絡(luò)攻擊者修改了開源瀏覽器擴(kuò)展Gmail Notifier中的幾部分代碼���,這樣可以就可以實(shí)現(xiàn)它的攻擊功能����,這個(gè)工具可以向受害者隱藏瀏覽器的警報(bào)信息��,攻擊者還將該擴(kuò)展程序偽裝成了Adobe Flash的相關(guān)工具' ��。
在安裝FriarFox之后���,其中一個(gè)Javascript文件(tabletView.js)還會(huì)主動(dòng)從一個(gè)由攻擊者控制的服務(wù)器上來(lái)檢索Scanbox框架���。Scanbox是一個(gè)基于PHP和JavaScript的偵察框架,它可以收集受害者系統(tǒng)的信息�,它最早可以追溯到2014年。
TA413威脅組織在持續(xù)發(fā)展
TA413組織一直在損害中國(guó)國(guó)家利益,它的主要攻擊目標(biāo)是藏族自治區(qū)��。在9月份��,這個(gè)總部位于中國(guó)的APT組織正在向目標(biāo)發(fā)送魚叉式釣魚郵件���,傳播一種從未見過的被稱為Sepulcher的RAT工具。
研究人員說(shuō):'雖然與其他的APT組織相比TA413并不復(fù)雜��,但TA413使用了自己修改的開源工具�、成熟的共享偵察框架、各種交付載體和非常有針對(duì)性的社會(huì)工程學(xué)策略���。'
研究人員表示��,這次最新的攻擊活動(dòng)表明����,TA413似乎正在使用更多的自己修改定制的開源工具來(lái)攻擊受害者��。
他們說(shuō):'與許多APT組織不同�,攻擊工具和基礎(chǔ)設(shè)施的暴露并沒有導(dǎo)致TA413組織的攻擊方式發(fā)生重大的變化,據(jù)此�����,我們預(yù)計(jì)未來(lái)他們會(huì)繼續(xù)使用類似的作案方式針對(duì)藏族成員進(jìn)行網(wǎng)絡(luò)攻擊。'
