中国黑客利用Firefox扩展对西藏组织进行间谍活动

网络安全研究人员今天展开了一项新的活动，旨在通过在目标系统上部署恶意Firefox扩展，在全球范围内监视脆弱的藏人社区。

Proofpoint在一份分析报告中表示：“与中国共产党国家利益相一致的威胁行为人提供了一个定制的恶意Mozilla Firefox浏览器扩展，方便用户访问和控制Gmail账户。”。

这家总部位于桑尼维尔的企业安全公司将网络钓鱼操作锁定在一个中国高级持久性威胁（APT）上，该公司跟踪称其为TA413，此前，人们将其归因于利用新冠病毒为主题的诱饵，以间谍活动和公民异见监视为战略目标，向藏人散居地发起攻击。

研究人员说，袭击事件发生在一月和2021年2月，这是自2020年3月以来一直持续的一种模式。

感染链始于一封仿冒“西藏妇女协会”的网络钓鱼电子邮件，使用一个TA413链接的Gmail账户，该账户被伪装成印度达赖喇嘛殿下的办公室。

这些电子邮件包含一个恶意URL，据称是YouTube的链接，而实际上，它会将用户带到一个虚假的“Adobe Flash Player Update”登录页，提示他们安装一个Firefox扩展，Proofpoint称之为“FriarFox”

就其本身而言，流氓扩展—；命名为“Flash更新组件”和#8212；伪装成一个与Adobe Flash相关的工具，但研究人员表示，它主要基于一个名为“Gmail Notifier（Restartles）”的开源工具，进行了重大修改，增加了恶意功能，包括合并了从其他扩展名（如Checker Plus for Gmail）获取的文件的修改版本。

这一发展的时机并非巧合，因为富多媒体格式于2020年12月31日结束后，Adobe从1月12日开始正式禁止Flash内容在浏览器中运行。

有趣的是，这项操作似乎只针对同样登录到Gmail账户的Firefox浏览器用户，因为在Google Chrome等浏览器上访问相关URL或通过Firefox进行访问的情况下，该插件从未交付，但受害者没有活跃的Gmail会话。

研究人员说：“在2021年2月的近期活动中，浏览器扩展交付域促使用户在使用谷歌浏览器浏览器访问恶意域名时切换到Firefox浏览器。”

一旦安装，该扩展除了可以访问所有网站的浏览器标签和用户数据外，还配备了搜索、阅读和删除消息的功能，甚至可以从受损的Gmail帐户转发和发送电子邮件。

此外，FriarFox还与攻击者控制的服务器联系，以检索名为Scanbox的基于PHP和JavaScript的有效负载。

Scanbox是一个侦察框架，攻击者可以通过该框架跟踪受损网站的访问者，捕获击键，并获取可用于后续破坏的数据。据报道，为了在目标主机上传输第二阶段恶意软件，它也被修改。

2019年3月，巴基斯坦移民和护照总局（DGIP）网站和一个自称为官方中央西藏管理局（CTA）的假域名的访问者被记录在案，之前发现了使用扫描箱的活动。

Proofpoint威胁研究与检测高级总监谢罗德·德格里波（Sherrod DeGrippo）表示，TA413的武库中引入了FriarFox浏览器扩展，这表明APT演员对访问基于云的电子邮件帐户“永不满足的渴望”。

“工具的复杂交付方法[…]DeGrippo指出：“这让这个聪明的演员几乎可以完全访问受害者的Gmail账户，这尤其令人不安，因为就人类智能而言，电子邮件账户确实是价值最高的资产之一。”。

“一旦攻击者访问某人的电子邮件帐户，几乎任何其他帐户密码都可以重置。威胁参与者还可以使用受损的电子邮件帐户，使用用户的电子邮件签名和联系人列表，从该帐户发送电子邮件，这使得这些消息非常令人信服。”