Speagle恶意软件劫持Cobra DocGuard窃取数据

网络安全研究人员发现了一种名为Speagle的新型恶意软件，该软件能够劫持合法程序Cobra DocGuard的功能和基础设施进行数据窃取活动。

Speagle恶意软件的攻击机制

据Symantec和Carbon Black研究人员在今日发布的报告中指出，Speagle恶意软件专门设计用于秘密收集受感染计算机中的敏感信息，并将这些数据传输到被攻击者入侵的Cobra DocGuard服务器上，从而将数据窃取过程伪装成客户端与服务器之间的合法通信。

Cobra DocGuard是由EsafeNet开发的文档安全和加密平台。这款软件在实际攻击中被滥用的情况已经公开记录了两次。2023年1月，ESET记录了一起入侵事件，其中香港一家博彩公司在2022年9月通过该软件推送的恶意更新遭到入侵。

同年8月，Symantec重点介绍了一个代号为Carderbee的新威胁集群的活动，该集群被发现使用该程序的木马化版本部署PlugX后门，这是一种被Mustang Panda等中国黑客组织广泛使用的后门程序。这些攻击针对香港和其他亚洲国家的多个组织。

精准定向攻击特征

目前Speagle恶意软件的归属尚不明确，但该恶意软件的显著特点是专门设计用于从那些安装了Cobra DocGuard数据保护软件的系统中收集和窃取数据。这项活动被追踪为Runningcrab行动。

博通旗下的威胁狩猎团队表示："这表明了蓄意的定向攻击，可能是为了促进情报收集或工业间谍活动。目前我们认为最可能的假设是，这要么是国家资助行为者的工作，要么是可雇佣的私人承包商的工作。"

虽然恶意软件如何传递给受害者的确切方式尚不清楚，但根据前述两个案例的证据，怀疑可能是通过供应链攻击进行的。

利用安全软件基础设施的攻击手段

此外，安全软件及其基础设施所发挥的核心作用值得关注。Speagle不仅使用合法的Cobra DocGuard服务器作为命令和控制以及数据窃取点，还调用与该程序相关的驱动程序从受感染的主机中删除自身。

这个32位.NET可执行文件一旦启动，首先检查Cobra DocGuard的安装文件夹，然后分阶段从受感染机器收集和传输数据。这包括系统详细信息和位于特定文件夹中的文件，如包含网页浏览历史和自动填充数据的文件夹。

更重要的是，发现Speagle的一个变种具有额外功能，可以开启或关闭某些类型的数据收集，以及搜索与中国弹道导弹（如东风-27，即DF-27）相关的文件。

研究人员表示："Speagle是一种新颖的寄生威胁，巧妙地利用Cobra DocGuard的客户端来掩盖其恶意活动，并利用其基础设施来隐藏窃取流量。其开发者无疑注意到了以前使用该软件的供应链攻击，并可能选择它既是因为其感知到的漏洞，也是因为它在目标组织中的高使用率。"

Q&A

Q1：Speagle恶意软件是什么？它有什么特殊之处？

A：Speagle是一种新型恶意软件，专门劫持合法程序Cobra DocGuard的功能和基础设施来窃取数据。它的特殊之处在于只从安装了Cobra DocGuard数据保护软件的系统中收集数据，并将数据窃取过程伪装成客户端与服务器之间的合法通信。

Q2：Cobra DocGuard软件之前被恶意利用过吗？

A：是的，Cobra DocGuard软件在实际攻击中被滥用的情况已经公开记录了两次。2023年1月，香港一家博彩公司通过该软件的恶意更新遭到入侵。同年8月，Carderbee威胁集群使用该程序的木马化版本部署PlugX后门攻击多个亚洲组织。

Q3：Speagle恶意软件如何隐藏自己的攻击行为？

A：Speagle通过多种方式隐藏攻击：使用合法的Cobra DocGuard服务器作为命令控制和数据窃取点，将恶意通信伪装成正常的客户端-服务器通信，并调用与Cobra DocGuard程序相关的驱动程序从受感染主机中删除自身痕迹。