Исследователи кибербезопасности из Symantec и Carbon Black выявили новый сложный штамм вредоносного ПО под названием Speagle, который активно компрометирует системы, используя легитимное приложение для защиты документов Cobra DocGuard. Разработанный компанией EsafeNet, Cobra DocGuard представляет собой платформу, предназначенную для шифрования и защиты документов. Вредоносная программа скрытно собирает конфиденциальную информацию с зараженных машин и передает ее на скомпрометированный злоумышленниками командный сервер (C2). Эта техника маскирует эксфильтрацию данных под нормальный, легитимный трафик между клиентом Cobra DocGuard и его серверной инфраструктурой, что значительно усложняет обнаружение для защитников сети.
Это не первый случай, когда инфраструктура Cobra DocGuard используется в кампаниях кибершпионажа. Данное программное обеспечение было замешано как минимум в двух предыдущих громких инцидентах. В январе 2023 года исследователи ESET задокументировали атаку, в ходе которой гонконгская игорная компания была скомпрометирована в сентябре 2022 года через вредоносное обновление ПО, распространенное через Cobra DocGuard. Затем, в августе 2023 года, Symantec подробно описала деятельность группы угроз, отслеживаемой под кодовым названием Carderbee, которая использовала троянизированную версию программного обеспечения для развертывания бэкдора PlugX — инструмента, часто ассоциируемого с китайскими государственными хакерскими группами, такими как Mustang Panda. Эти атаки были в основном нацелены на организации в Гонконге и других частях Азии.
Вредоносное ПО Speagle, в настоящее время отслеживаемое под кластерным именем Runningcrab, демонстрирует высокоизбирательный и целевой характер. Оно специально разработано для работы только на системах, где уже установлено программное обеспечение Cobra DocGuard. Эта точность указывает на кампанию целенаправленного воздействия, вероятно, направленную на сбор разведданных или промышленный шпионаж против конкретных организаций, использующих это решение для защиты данных. Исследователи из групп охоты за угрозами Broadcom предполагают, что наиболее правдоподобные объяснения указывают на участие государственного спонсируемого субъекта или сложного частного подрядчика, предлагающего наступательные киберуслуги. Точный начальный вектор заражения остается неясным, но свидетельства прошлых инцидентов strongly предполагают компрометацию цепочки поставок программного обеспечения в качестве вероятного механизма доставки.
Центральная роль скомпрометированного легитимного сервера в этой кампании подчеркивает растущую тенденцию в продвинутых кибероперациях: использование доверенного программного обеспечения и инфраструктуры в качестве оружия. Захватывая каналы связи продукта безопасности, злоумышленники могут обходить традиционные средства контроля, которые разрешают или доверяют трафику, направленному на известные легитимные службы и исходящему от них. Этот случай служит критическим напоминанием организациям о необходимости внедрения надежных практик безопасности цепочки поставок ПО, тщательного мониторинга исходящего трафика даже на доверенные направления и рассмотрения возможности развертывания продвинутых решений для обнаружения угроз, способных выявлять аномальные паттерны в зашифрованных или кажущихся безобидными коммуникациях.
