据说，一个与哈马斯有联系的多产中东团队正在使用恶意软件和基础设施来瞄准以色列高级官员，并从 Windows 和 Android 设备上窃取敏感数据。

高级持续威胁 (APT) 组织——被一些人称为 APT-C-23、 Arid Viper、Desert Falcon 和 FrozenCell 等名称——发起了一场精心策划的网络间谍活动，花费数月时间推出虚假 Facebook 账户以针对特定潜在客户据 Cyber​​eason 的 Nocturnus 威胁情报团队称，以色列的受害者。

“这些虚假账户已经运行了几个月，对于毫无戒心的用户来说似乎相对真实，”安全商店的 Nocturnus 机构在今天发布的一份报告中写道。

研究人员发现：“运营商似乎投入了相当大的努力来‘照料’这些档案，通过加入受欢迎的以色列团体、用希伯来语写帖子以及将潜在受害者的朋友添加为朋友来扩大他们的社交网络。”

“随着时间的推移，虚假资料的操作者能够与广泛的以色列公民成为‘朋友’，其中包括一些为敏感组织工作的知名目标，包括国防、执法、紧急服务和其他与政府相关的组织。”

芭比娃娃自带你所有的数据

该活动被 Nocturnus 称为“大胡子芭比行动”，是 APT-C-23 的出发点，该活动已在中东运营多年，通常专注于讲阿拉伯语的目标。多年来，该组织在其他活动中使用了相同的相对简单的工具和技术。

然而，对于这项最新的努力，APT 团队似乎已经升级：它现在使用一套新的工具——称为 Barb(ie) Downloader 和 BarbWire Backdoor——具有逃避检测的技术和专注于操作安全性的技术。该小组还在部署改进的 VolatileVenom Android 植入程序。

“此外，所有三个正在使用的恶意软件 [样本] 也是专门设计用于对付以色列目标的，并且没有观察到用于对付其他目标。……这种对目标的‘紧握’证明了这次活动的重要性和敏感性是为威胁行为者准备的，”Nocturnus 说。

书中最古老的技巧

APT 团队使用经典的猫钓技术（Facebook 个人资料中有吸引力的女性的假身份）来吸引男性。在获得受害者的信任后，特工建议他们将对话转移到 WhatsApp——并在此过程中获取目标的手机号码——然后经常使用以性为主题的内容来说服受害者使用更加离散的通信方式，例如设计的包含 VolatileVenom 恶意软件的 Android 消息传递应用程序。

他们还引诱受害者在他们的 PC 上打开一个 .rar 文件，其中包含包含色情内容的视频。研究人员写道，一旦他们点击视频，恶意软件就会在后台安装在 Windows 系统上，而目标会被视频分散注意力。

通过 .rar 文件，使用 Barb(ie) 下载器安装 BarbWire 后门。在安装 BarbWire 之前，它还会执行检查以确保没有运行分析工具，也没有类似沙箱的环境。该恶意软件收集有关系统的信息——例如用户名、操作系统版本和正在运行的进程——并将其发送到控制和命令服务器 (C2)。

后门带有许多隐藏自身的技术，从字符串加密到 API 哈希和进程保护，目的是让威胁组织完全控制 PC 并运行键盘记录、屏幕捕获、录音和下载等任务更多恶意软件。它可以搜索包括 PDF、Office 文档、视频和图像文件在内的文件以及包括 CD-ROM 在内的外部媒体。

“搜索这样一种旧媒体格式以及感兴趣的文件扩展名，可能表明关注倾向于使用更多‘物理’格式来传输和保护数据的目标，例如军事、执法和医疗保健，”研究人员写道。

一旦找到，这些数据就会被放入一个 .rar 存档文件中并被泄露到远程命令和控制服务器。Nocturnus 团队表示已检测到 BarbWire 后门的三种变体。

关于 VolatileVenom，APT-C-23 自 2020 年左右以来一直在使用 Android 恶意软件。该活动使用名为“Wink Chat”的虚假消息应用程序作为诱饵；当用户尝试注册使用该软件时，会出现一条错误消息，指出该应用程序将被卸载。同时，恶意软件继续在后台运行，定位和收集数据，然后将其发送到 C2。

“这次活动表明 APT-C-23 的能力有了相当大的提升，隐身性升级，恶意软件更加复杂，以及他们的社会工程技术的完善，其中包括使用非常活跃和精心打造的网络的攻击性 HUMINT [人类智能] 能力已被证明对该群体非常有效的虚假 Facebook 帐户，”研究人员写道。