Anstatt Malware direkt über die Apps des Unternehmens zu teilen, einschließlich Instagram und Facebook sagte Meta, dass sich die Aktivitäten der CyberRoot Risk Advisory Group hauptsächlich in Social Engineering und Phishing manifestierten.
Wie zielte CyberRoot auf Menschen ab?
CyberRoot verwendete gefälschte Konten, um fiktive, aber glaubwürdige Personen zu erstellen, und gab sich als Journalisten, Geschäftsleute und Medienpersönlichkeiten aus, um das Vertrauen ihrer Opfer zu gewinnen. In einigen Fällen erstellte die Gruppe Profile, die fast identisch mit denen der Freunde und Familienmitglieder der Opfer waren, mit nur geringfügig geänderten Benutzernamen. Dann versuchten sie, die Leute dazu zu bringen, sich mit diesen gefälschten Konten zu beschäftigen.
CyberRoot Risk Advisory Privat verwendet ein Marketing-Tool namens Branch, um die Zustellung von Phishing-Links zu erstellen, zu verwalten und zu verfolgen. Einmal angeklickt, leiteten diese Links Personen zu gefälschten Domains innerhalb des großen Netzwerks bösartiger Websites dieser Firma weiter.
Die CyberRoot Risk Advisory Group „verwendete ein sehr ähnliches Playbook wie eine andere Überwachungsfirma namens BellTroX, die wir 2021 entfernt haben“, die anscheinend den Betrieb der Technologien des Unternehmens eingestellt hat. Unter Berufung auf mehrere Berichte sagt Meta, dass CyberRoot in der Vergangenheit BellTroX unterstützt und mit ihm zusammengearbeitet hat.
Im Rahmen ihrer Phishing-Kampagnen hat die Gruppe sogar Domains großer E-Mail-Anbieter, Videokonferenz- und Filesharing-Tools gespooft. Dazu gehören Gmail, Zoom, Facebook, Dropbox, Yahoo und OneDrive. Die Gruppe nutzte diese Domains dann, um Anmeldedaten für die Online-Konten der Opfer bei diesen Diensten zu stehlen.
„Unsere Untersuchung ergab, dass CyberRoot Menschen auf der ganzen Welt anspricht, die in einer Vielzahl von Branchen arbeiten, darunter kosmetische Chirurgie und Anwaltskanzleien in Australien, Immobilien- und Investmentgesellschaften in Russland, Private-Equity-Firmen und Pharmaunternehmen in den USA, Umwelt- und Anti- Korruptionsaktivisten in Angola, Glücksspielunternehmen in Großbritannien und Bergbauunternehmen in Neuseeland“, stellt das Unternehmen in dem Bericht fest.
Laut Meta konzentrierten sich diese Gruppen darauf, Führungskräfte, Anwälte, Ärzte, Aktivisten, Journalisten und Geistliche in Ländern wie Kasachstan, Dschibuti, Saudi-Arabien, Südafrika und Island anzugreifen. „Unsere Untersuchung bestätigt die Einschätzung der investigativen Journalisten von Reuters, dass diese Gruppe häufig Personen ins Visier nimmt, die an Rechtsstreitigkeiten beteiligt sind, wahrscheinlich im Auftrag von Anwaltskanzleien“, sagte Meta.
Das von Mark Zuckerberg geführte Unternehmen sagte, es habe die Domäneninfrastruktur der Gruppe blockiert und die Ergebnisse mit Branchenkollegen und Sicherheitsforschern geteilt. Es unternimmt auch weitere Schritte, wie das Teilen von Bedrohungsindikatoren, „um die weitere Forschung und Erkennung dieser bösartigen Aktivitäten im Internet zu unterstützen“.
900 gefälschte Konten zielten auf Inder ab
Meta behauptete auch, dass es ein von China aus betriebenes Netzwerk von etwa 900 gefälschten Konten auf Instagram und Facebook lahmgelegt habe. Diese „nicht zugeordnete Entität“ verwendete ein breites Netzwerk von Proxys, um zu versuchen, ihre Konten durch automatisierte Posting- und Freundschaftsaktivitäten scheinbar authentisch erscheinen zu lassen.
„Unsere Untersuchung ergab, dass sich die Scraping-Aktivitäten dieser Entität auf Menschen in Myanmar, Indien, Taiwan, den USA und China konzentrieren, darunter Militärangehörige, pro-demokratische Aktivisten, Regierungsangestellte, Politiker und Journalisten“, sagte Meta.
Daten von 500 Millionen WhatsApp-Nutzern geleakt, So überprüfen Sie, ob Ihre WhatsApp-Daten gefährdet sind