Speagle惡意軟件劫持Cobra DocGuard竊取數據

網絡安全研究人員發現了一種名為Speagle的新型惡意軟件，該軟件能夠劫持合法程序Cobra DocGuard的功能和基礎設施進行數據竊取活動。

Speagle惡意軟件的攻擊機制

據Symantec和Carbon Black研究人員在今日發布的報告中指出，Speagle惡意軟件專門設計用于秘密收集受感染計算機中的敏感信息，并將這些數據傳輸到被攻擊者入侵的Cobra DocGuard服務器上，從而將數據竊取過程偽裝成客戶端與服務器之間的合法通信。

Cobra DocGuard是由EsafeNet開發的文檔安全和加密平臺。這款軟件在實際攻擊中被濫用的情況已經公開記錄了兩次。2023年1月，ESET記錄了一起入侵事件，其中香港一家博彩公司在2022年9月通過該軟件推送的惡意更新遭到入侵。

同年8月，Symantec重點介紹了一個代號為Carderbee的新威脅集群的活動，該集群被發現使用該程序的木馬化版本部署PlugX后門，這是一種被Mustang Panda等中國黑客組織廣泛使用的后門程序。這些攻擊針對香港和其他亞洲國家的多個組織。

精準定向攻擊特征

目前Speagle惡意軟件的歸屬尚不明確，但該惡意軟件的顯著特點是專門設計用于從那些安裝了Cobra DocGuard數據保護軟件的系統中收集和竊取數據。這項活動被追蹤為Runningcrab行動。

博通旗下的威脅狩獵團隊表示："這表明了蓄意的定向攻擊，可能是為了促進情報收集或工業間諜活動。目前我們認為最可能的假設是，這要么是國家資助行為者的工作，要么是可雇傭的私人承包商的工作。"

雖然惡意軟件如何傳遞給受害者的確切方式尚不清楚，但根據前述兩個案例的證據，懷疑可能是通過供應鏈攻擊進行的。

利用安全軟件基礎設施的攻擊手段

此外，安全軟件及其基礎設施所發揮的核心作用值得關注。Speagle不僅使用合法的Cobra DocGuard服務器作為命令和控制以及數據竊取點，還調用與該程序相關的驅動程序從受感染的主機中刪除自身。

這個32位.NET可執行文件一旦啟動，首先檢查Cobra DocGuard的安裝文件夾，然后分階段從受感染機器收集和傳輸數據。這包括系統詳細信息和位于特定文件夾中的文件，如包含網頁瀏覽歷史和自動填充數據的文件夾。

更重要的是，發現Speagle的一個變種具有額外功能，可以開啟或關閉某些類型的數據收集，以及搜索與中國彈道導彈（如東風-27，即DF-27）相關的文件。

研究人員表示："Speagle是一種新穎的寄生威脅，巧妙地利用Cobra DocGuard的客戶端來掩蓋其惡意活動，并利用其基礎設施來隱藏竊取流量。其開發者無疑注意到了以前使用該軟件的供應鏈攻擊，并可能選擇它既是因為其感知到的漏洞，也是因為它在目標組織中的高使用率。"

Q&A

Q1：Speagle惡意軟件是什么？它有什么特殊之處？

A：Speagle是一種新型惡意軟件，專門劫持合法程序Cobra DocGuard的功能和基礎設施來竊取數據。它的特殊之處在于只從安裝了Cobra DocGuard數據保護軟件的系統中收集數據，并將數據竊取過程偽裝成客戶端與服務器之間的合法通信。

Q2：Cobra DocGuard軟件之前被惡意利用過嗎？

A：是的，Cobra DocGuard軟件在實際攻擊中被濫用的情況已經公開記錄了兩次。2023年1月，香港一家博彩公司通過該軟件的惡意更新遭到入侵。同年8月，Carderbee威脅集群使用該程序的木馬化版本部署PlugX后門攻擊多個亞洲組織。

Q3：Speagle惡意軟件如何隱藏自己的攻擊行為？

A：Speagle通過多種方式隱藏攻擊：使用合法的Cobra DocGuard服務器作為命令控制和數據竊取點，將惡意通信偽裝成正常的客戶端-服務器通信，并調用與Cobra DocGuard程序相關的驅動程序從受感染主機中刪除自身痕跡。