Các nhà nghiên cứu an ninh mạng đã cảnh báo về một mã độc mới có tên Speagle, chuyên chiếm đoạt chức năng và cơ sở hạ tầng của một chương trình hợp pháp là Cobra DocGuard.
"Speagle được thiết kế để thu thập thông tin nhạy cảm một cách bí mật từ các máy tính bị nhiễm và truyền đến một máy chủ Cobra DocGuard đã bị kẻ tấn công xâm nhập, che giấu quá trình đánh cắp dữ liệu dưới dạng liên lạc hợp pháp giữa client và server," các nhà nghiên cứu từ Symantec và Carbon Black cho biết trong một báo cáo được công bố hôm nay.
Cobra DocGuard là một nền tảng bảo mật và mã hóa tài liệu do EsafeNet phát triển. Việc lạm dụng phần mềm này trong các cuộc tấn công thực tế đã được ghi nhận công khai hai lần cho đến nay. Vào tháng 1 năm 2023, ESET đã ghi nhận một vụ xâm nhập khi một công ty cờ bạc ở Hồng Kông bị tấn công vào tháng 9 năm 2022 thông qua một bản cập nhật độc hại được đẩy bởi phần mềm.
Sau đó vào tháng 8, Symantec đã nhấn mạnh hoạt động của một nhóm mối đe dọa mới có tên mã Carderbee, được phát hiện sử dụng phiên bản bị trojan hóa của chương trình để triển khai PlugX, một backdoor được các nhóm hacker Trung Quốc như Mustang Panda sử dụng rộng rãi. Các cuộc tấn công nhắm vào nhiều tổ chức ở Hồng Kông và các quốc gia châu Á khác.
Speagle vẫn chưa được xác định nguồn gốc cho đến nay. Tuy nhiên, điều đáng chú ý về mã độc này là nó được thiết kế để thu thập và exfiltrate dữ liệu chỉ từ các hệ thống đã cài đặt phần mềm bảo vệ dữ liệu Cobra DocGuard. Hoạt động này đang được theo dõi dưới biệt danh Runningcrab.
"Điều này cho thấy mục tiêu có chủ đích, có thể là để tạo điều kiện thu thập thông tin tình báo hoặc gián điệp công nghiệp," các nhóm săn lùng mối đe dọa thuộc Broadcom cho biết. "Hiện tại, chúng tôi tin rằng các giả thuyết khả dĩ nhất là đây là công việc của một state-sponsored actor hoặc của một nhà thầu tư nhân được thuê."
Cách thức mã độc này được gửi đến nạn nhân vẫn chưa được biết rõ, mặc dù người ta nghi ngờ rằng nó có thể đã được thực hiện thông qua một cuộc tấn công supply chain, như bằng chứng từ hai trường hợp đã đề cập ở trên.
Ngoài ra, vai trò trung tâm của phần mềm bảo mật và cơ sở hạ tầng của nó cũng cần được đề cập. Speagle không chỉ sử dụng một server Cobra DocGuard hợp pháp cho command-and-control (C2) và làm điểm exfiltration dữ liệu, mà nó còn gọi một driver liên quan đến chương trình để tự xóa khỏi host bị xâm nhập.
Khi được khởi chạy, file thực thi .NET 32-bit này trước tiên kiểm tra thư mục cài đặt của Cobra DocGuard, sau đó tiến hành thu thập và truyền dữ liệu từ máy bị nhiễm theo từng giai đoạn. Điều này bao gồm các chi tiết về hệ thống và các file nằm trong các thư mục cụ thể, chẳng hạn như những thư mục chứa lịch sử trình duyệt web và dữ liệu autofill.
Hơn nữa, một biến thể của Speagle đã được phát hiện có thêm chức năng bật/tắt một số loại thu thập dữ liệu, cũng như tìm kiếm các file liên quan đến tên lửa đạn đạo của Trung Quốc như Dongfeng-27 (hay còn gọi là DF-27).
"Speagle là một mối đe dọa ký sinh mới lạ, khéo léo sử dụng client của Cobra DocGuard để che giấu hoạt động độc hại của nó và cơ sở hạ tầng của nó để ẩn lưu lượng exfiltration," các nhà nghiên cứu cho biết. "Nhà phát triển của nó chắc chắn đã nhận thấy các cuộc tấn công supply chain trước đây sử dụng phần mềm này và có thể đã chọn nó vì cả lỗ hổng nhận thức của nó và tỷ lệ sử dụng cao trong số các tổ chức mục tiêu."
