安全圈又炸锅了。3月19日,The Hacker News放出一篇重磅报道:一种叫Speagle的新恶意软件,直接把合法的Cobra DocGuard软件和它的服务器当成了肉盾,用来偷偷摸摸往外传受害者数据。
这玩意儿不是随便乱咬。它只在装了Cobra DocGuard的机器上才动手。Symantec和Carbon Black的研究员直言,这明显是精准狙击。很可能冲着情报搜集或者工业间谍去的。攻击者把C2通信和数据外传全部伪装成Cobra DocGuard的正常客户端-服务器交互,肉眼几乎看不出破绽。
Cobra DocGuard是EsafeNet出的文档加密保护工具,在香港和部分亚洲地区用得不少。过去它已经被黑过两次。2023年1月,ESET抓到香港一家博彩公司因为恶意更新中招;同年8月,Symantec曝光Carderbee团伙用篡改版Cobra DocGuard推送PlugX后门,目标横跨香港和其他亚洲机构,多为中国黑客圈常见的Mustang Panda风格。现在Speagle又来蹭热度,攻击者显然盯上了这套软件的高渗透率和已知供应链弱点。
Speagle本身是个32位.NET可执行文件。运行后先去扫Cobra DocGuard的安装目录,确认存在才继续。采集内容很针对性:系统信息、特定文件夹里的文件,尤其是浏览器历史记录和自动填充数据,分阶段打包外传。最狠的是,它还能调用Cobra DocGuard自带的驱动,把自己从受害机上彻底抹掉,清理痕迹干净利落。
更离谱的是,有一个变种居然内置了开关,能远程控制采集哪些类型的数据。最诡异的一点是,它会专门搜寻跟中国弹道导弹“东风-27”(DF-27)相关的文件。这条线索一出来,基本没人敢说这是普通犯罪团伙干的活。研究团队给出了两个最靠谱猜想:要么是国家支持的APT,要么是专门接单的雇佣黑产。反正跟之前用PlugX的Carderbee高度相似,但目前还没法铁证归因。
传播路径暂时成谜。研究员倾向于又是供应链攻击。毕竟Cobra DocGuard之前就被两次利用更新通道下毒,攻击者很可能故技重施,或者直接入侵EsafeNet的更新服务器。受害组织大概率还是集中在香港及周边亚洲国家,对文档安全要求高的金融、博彩、政府或军工相关企业最危险。
这事儿戳中了安全行业的老痛点:越是“可信”的企业级安全软件,一旦被攻破,反而成了绝佳的伪装外衣。Speagle把合法基础设施当跳板,把C2流量藏在正常更新流量里,EDR再牛也很难一眼看穿。Broadcom旗下的威胁狩猎团队直接评价:这是一款“寄生型新型威胁”,开发者的算盘打得啪啪响。
当前加密市场还在低位震荡,BTC现报$70,507(24h -0.95%),ETH现报$2,146(24h -1.64%)。币圈资金抱团取暖,安全事件却一波接一波。Speagle这种精准寄生攻击,说明国家级或准国家级玩家对亚洲目标的兴趣从未降温。尤其涉及导弹关键词的文件搜集,指向性太强,很难不让人联想到地缘情报需求。
企业用户现在最该干的事很简单:赶紧审计自家有没有部署Cobra DocGuard,装了的立刻检查更新通道和服务器通信日志。别等数据被打包走了才后悔。攻击者选这种软件下手,就是吃准了它在某些圈子里的“不可或缺”。结果呢?成了最大的单点风险。
安全从来不是买了工具就万事大吉。工具越高级,被利用的后果越严重。Speagle只是最新一例提醒:信任链最脆弱的那一环,往往藏在你最信赖的地方。