Специалисты по кибербезопасности из Symantec и Carbon Black обнаружили ранее неизвестную и чрезвычайно скрытную угрозу, получившую название Infostealer.Speagle. Эта вредоносная программа уникальна тем, что паразитирует на функционале и инфраструктуре легитимного программного обеспечения для защиты документов Cobra DocGuard. Её цель - скрытный сбор конфиденциальной информации с заражённых компьютеров, причём злоумышленники маскируют процесс утечки данных под легитимный обмен между клиентом и сервером Cobra DocGuard, который они предварительно скомпрометировали. Особую озабоченность вызывает тот факт, что один из вариантов Speagle демонстрирует узконаправленный интерес к документации, связанной с китайскими баллистическими ракетами, что указывает на возможную деятельность, направленную на сбор разведывательных данных.
Описание
Cobra DocGuard - это легальная платформа для шифрования и защиты документов, разработанная китайской компанией EsafeNet. Однако её популярность среди корпоративных пользователей сделала её привлекательной мишенью для злоумышленников. Продукт уже становился инструментом в цепочке поставок как минимум дважды за последние годы. В мае 2023 года ESET сообщала о его использовании для атаки на гонконгскую игорную компанию, а в августе 2023 года Threat Hunter Team обнаружила APT-группировку Carderbee, использовавшую Cobra DocGuard для распространения бэкдора Korplug (также известного как PlugX) среди организаций в Гонконге и ряде азиатских стран. Новая угроза, Speagle, продолжает эту тревожную тенденцию, но использует более изощрённый паразитический подход.
Исследователи пока не могут с уверенностью связать Speagle с какой-либо известной группировкой, присвоив её авторам временное имя Runningcrab. Ключевая особенность угрозы - её избирательность. Программа активирует механизмы сбора и передачи данных только на тех компьютерах, где уже установлен клиент Cobra DocGuard. Это свидетельствует о преднамеренном выборе целей, вероятно, среди организаций, уже использующих это решение для защиты своих самых ценных данных. Подобная тактика характерна либо для государственных структур, занятых сбором разведданных, либо для высококвалифицированных частных подрядчиков в сфере промышленного шпионажа.
Вопрос о первоначальном векторе заражения остаётся открытым. Имеющиеся данные с невысокой степенью уверенности указывают на возможную атаку через цепочку поставок. Это предположение основано на двух фактах. Во-первых, Runningcrab не просто использует клиентское ПО, но и захватил управление легитимным сервером Cobra DocGuard, превратив его в центр управления и контроля для Speagle. Это позволяет маскировать трафик с украденными данными под обычные запросы к системе безопасности. Во-вторых, механизм самоудаления вредоносной программы использует легитимный драйвер Cobra DocGuard (\\.\FileLock) для попытки стереть свой исполняемый файл. Подобные драйверы часто обладают функциями защиты от несанкционированного вмешательства, что может указывать на то, что Speagle была доставлена в составе скомпрометированного обновления Cobra DocGuard. Эксперты из Symantec сообщили, что это пока лишь гипотеза, требующая дальнейшего изучения.
С технической точки зрения Speagle представляет собой 32-битное приложение, написанное на .NET. Его работа делится на три фазы, каждая из которых завершается попыткой передать собранные данные на скомпрометированный сервер. Такой подход позволяет злоумышленникам получить хотя бы часть информации, даже если вредоносная программа будет обнаружена и остановлена в процессе работы. На первом этапе Speagle собирает базовые идентификаторы системы: имя пользователя, имя компьютера, а также уникальные токены клиента (clientId) и установки (oldId) из конфигурационных файлов Cobra DocGuard. Если идентификатор клиента отсутствует, программа прекращает работу и пытается удалить себя, что ещё раз подчёркивает её ориентацию исключительно на среды с установленным защитным ПО.
Собранные данные упаковываются в специальную структуру «ErrorReport», сериализуются в XML, сжимаются алгоритмом Deflate и шифруются с помощью AES-128. Зашифрованный блок передаётся по HTTP на жёстко заданный URL, который, как предполагается, ведёт на легитимный, но взломанный сервер Cobra DocGuard. Для маскировки под обычный трафик программа использует специфические HTTP-заголовки, такие как "X-Request-Name", "X-Request-ID" и "X-Request-No", содержащие данные самой системы. На втором этапе Speagle проводит масштабный сбор системной информации через WMI-запросы (Windows Management Instrumentation), получая данные об учётных записях, сетевых соединениях, процессах, службах, правилах брандмауэра и многом другом. Также составляется рекурсивный список файлов и папок на всех дисках, за исключением системных каталогов Windows и пользовательских профилей, которые обрабатываются отдельно.
Третий этап посвящён сбору данных пользовательской активности. Speagle ищет в профилях браузеров (Chrome, Edge и других, основанных на Chromium) файлы History, Web Data и Bookmarks. Она копирует эти файлы и извлекает из них SQLite-базы данных, собирая историю посещённых URL, сохранённые формы автозаполнения, список загрузок и закладки. Наиболее показательной является функциональность, обнаруженная в одном из вариантов Speagle. Помимо возможности включать и отключать определённые модули сбора, эта версия содержит дополнительный шаг, целенаправленно ищущий на дисках файлы, в именах которых встречаются ключевые слова на китайском языке, связанные с баллистическими и крылатыми ракетами, гиперзвуковыми технологиями, системами теплозащиты и композитными материалами. Среди конкретных упоминаний - ракета «Дунфэн-27» (Dongfeng-27, CSS-X-24). Это явно указывает на целевой характер атаки, направленной на организации, работающие в оборонной или аэрокосмической сфере.
Завершив сбор данных, Speagle пытается стереть все следы своего присутствия, используя сложную двухэтапную процедуру. Сначала она обращается к драйверу Cobra DocGuard, пытаясь заставить его удалить свой процесс. Затем, применяя технику, описанную исследователем Йонасом Люккегором, программа переименовывает свой исполняемый файл в специальное зарезервированное имя формата ":[ШЕСТЬ_ЗАГЛАВНЫХ_БУКВ]", после чего пытается его удалить, даже если он всё ещё выполняется в памяти.
Speagle представляет собой качественно новую угрозу, демонстрирующую эволюцию тактик злоумышленников. Вместо прямого взлома она паразитирует на уже внедрённых средствах защиты, используя их доверенный статус и инфраструктуру для маскировки своей вредоносной активности. Для специалистов по информационной безопасности этот случай служит суровым напоминанием о том, что даже средства защиты могут стать вектором атаки, если их жизненный цикл - от разработки до обновления - не обеспечен должным уровнем безопасности. Организациям, использующим Cobra DocGuard или аналогичные решения, рекомендуется провести аудит своих систем на предмет необычной сетевой активности, исходящей от клиентов к серверам управления, а также рассмотреть возможность усиленного мониторинга процессов, обращающихся к драйверам средств безопасности, и регулярной проверки целостности файлов обновлений. В условиях, когда граница между инструментом защиты и оружием атаки становится всё более размытой, необходим комплексный подход, сочетающий технический контроль с постоянной осведомлённостью о новых угрозах.
Индикаторы компрометации
URLs
- http://222.222.254.165:8090/CDGServer3/CDGClientDiagnostics?flag=syn_user_policy
- http://60.30.147.18:8091/CDGServer3/CDGClientDiagnostics?flag=syn_user_policy
SHA256
- 03298f85eaf8880222cf8a83b8ed75d90712c34a8a5299a60f47927ad044b43b
- d7f167cbf1676c14fd487219447e30fadf26885eb25ec4cafdeabe333bddf877
- dcd3f06093bf34d81837d837c5a5935beb859ba6258e5a80c3a5f95638a13d4d
- fad8d0307db5328c8b9f283a2cc6f7e4f4333001623fef5bd5c32a1c094bf890
