近日，Check Point Research研究团队发现了一起大规模的攻击行动，该行动已存在多年，一直通过Facebook页面向用户传播恶意软件，且目标国家只有一个——利比亚。

攻击者利用了利比亚紧张的政治局势，通过带有利比亚最新空袭或抓捕恐怖分子消息的钓鱼文档引诱受害者点击链接并下载恶意文件。

我们的调查始于Facebook上一个伪装成利比亚国民军指挥官哈利法·哈夫塔(Khalifa Haftar)的个人页面。除了担任陆军元帅外，哈夫塔还是利比亚政治舞台上的一位重要人物，在利比亚持续不断的内战中，他作为一名军事领导人发挥了重要作用。

通过此Facebook页面，我们追溯到了恶意活动背后的攻击者，并了解到他们多年来是如何利用社交网络平台、破坏合法网站来托管恶意软件的，并且我们发现，受害者成千上万，除了主要来自利比亚之外，在欧洲、美国和加拿大等地也有一些用户不幸中招。

最后我们向Facebook上报了调查结果，Facebook对这些页面和账户做了封禁处理。

以哈夫塔的名义钓鱼

这个伪装成哈利法·哈夫塔的Facebook主页创建于2019年4月初，自那以后已经吸引了超过1.1万名粉丝。该页面分享过一些政治主题的帖子，其中包括所谓“利比亚泄露情报”的下载网址，比如“揭露卡塔尔或土耳其等国密谋反对利比亚”的文件，还有一些下载链接指向了移动应用程序，名义上是为了有意加入利比亚武装部队的公民设计的:

但点击这些链接后将下载Windows环境下的恶意VBE或WSF文件，或是Android环境下的APK文件。威胁行为者选择的是开源工具而非自己开发的工具，并用一些已知的远程管理工具(rat)，如Houdini、Remcos和SpyNote等来感染受害者。恶意样本通常存储在诸如Google Drive、Dropbox、Box等文件托管服务中。

Facebook之外

但Facebook页面的用户名(@kalifhafatr)却拼错了Haftar的名字，可能是攻击者有意为之。在网上查找该错名会得到一个同名的Blogger帐户，自2015年以来一直活跃，管理过多个博客主页:

账号最近发表的文章中也使用了Haftar的名字，会在用户访问时自动下载恶意VBE:

重复的语法错误

另一个能说明该页面存在问题的嫌疑是，几乎每篇文章中都有大量语法错误。哈夫塔的名字并不是Facebook页面上唯一的拼写错误，这些帖子中还有很多拼写错误的单词。下面是其中一篇文章，突出显示的都是语法上的错误:

这些错误大部分都是重复的，有些帖子使用的单词在阿拉伯语中并不存在，因为作者原本就打算故意缺少某些字母(例如“Pove”而不是“Prove”)。

挖掘出更多Facebook账户

通过查找一些错误措辞的组合，我们在Facebook的网页上看到了许多重复同样错误的帖子，似乎是由同一人所为。自2014年以来，有30多个Facebook个人主页一直在传播恶意链接，其中一些账号活跃多年，粉丝众多。以下是我们挖掘到的主页中最受欢迎的前五个:

回顾这些年来的活动我们发现，攻击者可能是在的最初所有者创建和操作主页一段时间后，再通过破坏管理员设备的方式获取这些页面的访问权限。这些人的主页涉及不同的主题，但它们有一个共同点，那就是目标受众都是利比亚人民。其中一些页面会模仿利比亚重要人物和领导人，另一些则涉及该国的某些政治活动或军事行动。

这些年来，攻击者一共发布了40多个恶意链接。通过网页和链接之间的关系也能看出，恶意活动是高度交织的:

受害者定位

由于攻击者使用了URL短链（bit.ly，goo.gl，tinyurl等），我们可以知晓每个链接的点击人数，某些情况下还可以知道这些用户来自哪个国家，以及他们的使用环境。大多数链接都有数千次点击，点击时间集中在链接创建和共享时：

这些链接的传播主要依靠Facebook：

大多数受影响的用户来自利比亚，也有来自欧洲、美国和加拿大的受害者。下面的截图显示了其中一个链接，6500次点击中有5120次来自利比亚:

为吸引关注者而不是仅仅通过分享恶意链接来引起他们的怀疑，这些页面还会发布利比亚的最新消息，多个主页会在同一天内重复发布:

利比亚的动荡局势也使得关注该国动态的人群很成为攻击目标。由哈利法·哈夫塔领导的部队和由联合国支持的民选政府之间的冲突仍在继续，这些冲突甚至导致哈夫塔在4月领导了对首都的袭击。不过这一行动背后的攻击者似乎没有偏向哪一个政党。

除了政治主题外，这些主页还会发表一些其他内容诱骗用户。2018年，攻击者用一个RAT伪装成能观看世界杯比赛的应用程序，还有伪装成VPN服务的RAT，最后用户下载的应用程序是SpyNote RAT的变种。

总而言之，这表明幕后的威胁者对他们的目标受众非常了解，熟悉利比亚群众关心的内容，进而简单有效地传播恶意文件。

被攻陷的网站

大多数恶意文件都存储在Google Drive之类的云盘中，攻击者设法入侵了一些合法网站，包括俄罗斯、以色列和摩洛哥的数家新闻网站，最让人意外的是利比亚最大的移动运营商之一——Libyana的网站也被入侵了:

Libyana的网站上有一个早在2014年就发布的RAR压缩文件下载链接，备注是运营商免费赠送的信用包，但实际上包含了一个恶意的.NET可执行文件：

追踪攻击者

所有应用程序和VBE脚本都与同一个命令和控制服务器drpc.duckdns[.]org通信。

域名解析为与另一个网站libya-10 [.] com [.] ly相关联的IP地址，此域还用作2017年分发的一些恶意文件的C＆C。

本网站的WHOIS信息显示它注册的电子邮件地址为drpc1070 @ gmail [.] com，该地址又能联系到其它域名：

我们注意到，两个注册域名中都有“Dexter Ly”，在网上查了一下，找到了一个相应的Facebook账号，账号主人似乎也是利比亚人:

而能将该账号与攻击者联系到一起的关键证据是，该账号的语法错误跟我们之前看过的如出一辙。该账号还开诚布公地分享了这一恶意活动的方方面面，包括受害者所在小组的截图:

攻击者还分享了一些敏感信息，是通过感染受害者获得的，其中包括利比亚政府的秘密文件、交换的电子邮件、官员的电话号码，甚至还有官员护照的照片:

其中一篇帖子表明攻击者自2013年开始网站入侵，并参与了OpSyria等行动。看看这些记录，我们可以看到，“Dexter Ly”当时的代号还是“Dr.Pc”:

结论

在此行动中，我们追踪到了几个看似无关的Facebook页面，通过一些细节将其联系了起来。我们也能够看到攻击者的演变，从早期破坏网站到能够运行更复杂的操作。

尽管攻击者使用的工具本身并不先进，也不令人印象深刻，但使用定制的内容、合法的网站和拥有众多粉丝的高度活跃主页，简单的手法却异常有效，不光普通百姓，连政府高层也成了陷阱里的猎物。

尽管袭击者没有一个明确的政治偏向，但他们的行动似乎确实受到了政治事件的推动，比如从多年前的OpSyria行动，以及到最近揭露利比亚政府的机密文件和个人信息的意愿中可见一斑。