Speagle恶意软件把Cobra DocGuard这个程序给劫持了,专门用来偷数据。安全研究人员最近发现了这玩意儿,它的本事特别大,能把别人的系统里藏的秘密全给扒出来。Symantec还有Carbon Black的人在报告里说了,Speagle专门设计成偷偷摸摸收集敏感信息,然后传给被它黑掉的Cobra DocGuard服务器,把偷东西这事儿搞得像是在跟服务器好好聊天似的。 这个Cobra DocGuard其实是EsafeNet搞出来的文档加密工具,结果在去年就有两次被坏人拿来干坏事了。2023年1月份,ESET记下了一起香港博彩公司的事儿,说这家公司在2022年9月份被这玩意儿的恶意更新给坑了。同年8月份,Symantec又提到了一个叫Carderbee的坏团伙,他们用这种木马版的软件装了PlugX后门,这玩意儿就是Mustang Panda那些中国黑客最爱用的东西。他们就是要瞄准香港还有别的亚洲地方的好多单位。 说到这Speagle到底是谁搞出来的还不清楚,但它的特点很明显,就是光盯着装了Cobra DocGuard的系统下手。博通底下管安全的团队分析说,这说明是故意有人搞的定向袭击,可能是为了刺探情报或者搞工业间谍。他们觉得最可能的就是国家撑腰的人干的,或者是拿钱办事的私人承包商。 至于这玩意儿怎么弄到受害者手里的?看着两个案子的证据,怀疑是供应链出了问题。这里面最关键的是用安全软件这事儿当幌子。Speagle不光拿Cobra DocGuard的服务器当发号施令和偷东西的地方,还调用跟它配套的驱动把自己在主机里的痕迹给抹掉了。 这是个32位的.NET可执行文件,一启动先看看有没有Cobra DocGuard的文件夹。然后它分阶段来拿数据,把系统的详细信息和特定文件夹里的文件都给扒走了。特别是那个放着网页浏览历史和自动填密码的地方。更要命的是一个变种版本有个新本事,能控制开不开某些数据收集功能,甚至还会去搜跟中国弹道导弹东风-27(也就是DF-27)相关的文件。 研究人员说Speagle就是个新型的寄生威胁,它用Cobra DocGuard当掩体躲着,把自己干的坏事全藏在合法流量底下了。开发者肯定知道以前有供应链攻击用过这软件,所以可能选它既是因为它有漏洞,也是因为大家都爱用它。 Q&A Q1:Speagle是啥?有啥特别? A:它是个新型恶意软件,专门劫持Cobra DocGuard的功能和基础设施偷数据。它的特别之处是只偷装了Cobra DocGuard保护软件的系统里的东西,把偷东西的过程伪装成正常的客户端跟服务器的通信。 Q2:Cobra DocGuard以前被黑过吗? A:是的,已经有两次记录了。2023年1月香港一家博彩公司被恶意更新坑了。同年8月Carderbee团伙用木马版的它装后门攻击了好几个亚洲单位。 Q3:Speagle怎么藏起自己的? A:它用Cobra DocGuard的服务器当发号施令和偷东西的地方;把恶意通信伪装成正常通信;还调用相关驱动把自己在主机里的痕迹给删除了。