一群可能位于越南的攻擊者專門針對(duì)可能訪問 Facebook 業(yè)務(wù)和廣告管理帳戶的員工，在幾個(gè)月前首次曝光后，他們重新出現(xiàn)并改變了其基礎(chǔ)設(shè)施、惡意軟件和作案手法。

該組織被WithSecure的研究人員稱為 DUCKTAIL，該組織使用魚叉式網(wǎng)絡(luò)釣魚來針對(duì) LinkedIn 上的個(gè)人，從這些個(gè)人的職位描述來看可能他們有權(quán)管理 Facebook 企業(yè)帳戶。最近，還觀察到攻擊者通過 WhatsApp 瞄準(zhǔn)受害者。受感染的 Facebook 商業(yè)帳戶用于在平臺(tái)上投放廣告，以獲取攻擊者的經(jīng)濟(jì)利益。

DUCKTAIL 攻擊者進(jìn)行研究

帳戶濫用是通過惡意軟件程序使用受害者的瀏覽器實(shí)現(xiàn)的，該惡意軟件程序偽裝成與品牌、產(chǎn)品和項(xiàng)目規(guī)劃相關(guān)的文檔。攻擊者首先建立一個(gè)在 Facebook 上有業(yè)務(wù)頁面的公司列表。然后，他們?cè)?LinkedIn 和其他來源上搜索為這些公司工作并擁有可以讓他們?cè)L問這些業(yè)務(wù)頁面的職位的員工。這些包括管理、數(shù)字營銷、數(shù)字媒體和人力資源角色。

最后一步是向他們發(fā)送一個(gè)鏈接，其中包含一個(gè)偽裝成 .pdf 的惡意軟件的存檔，以及看似屬于同一項(xiàng)目的圖像和視頻。研究人員看到的一些文件名包括項(xiàng)目“發(fā)展計(jì)劃”、“項(xiàng)目信息”、“產(chǎn)品”和“新項(xiàng)目預(yù)算業(yè)務(wù)計(jì)劃”。

DUCKTAIL 組織自 2021 年下半年以來一直在開展這項(xiàng)活動(dòng)。在今年 8 月WithSecure 曝光他們的行動(dòng)后，該行動(dòng)停止了，攻擊者重新設(shè)計(jì)了他們的一些工具集。

攻擊者改用 GlobalSign 作為證書頒發(fā)機(jī)構(gòu)

今年早些時(shí)候分析的惡意軟件樣本使用以一家越南公司的名義從 Sectigo 獲得的合法代碼簽名證書進(jìn)行了數(shù)字簽名。由于該證書已被報(bào)告和撤銷，攻擊者已切換到 GlobalSign 作為他們的證書頒發(fā)機(jī)構(gòu)。在他們繼續(xù)以原公司的名義向多個(gè) CA 申請(qǐng)證書的同時(shí)，他們還建立了其他六家企業(yè)，全部使用越南語，其中三個(gè)獲得了代碼簽名證書。

2021 年底出現(xiàn)的 DUCKTAIL 惡意軟件樣本是用 .NET Core 編寫的，并使用框架的單文件功能編譯，該功能將所有必需的庫和文件捆綁到一個(gè)可執(zhí)行文件中，包括主程序集。這確保惡意軟件可以在任何 Windows 計(jì)算機(jī)上執(zhí)行，無論它是否安裝了 .NET 運(yùn)行時(shí)。自 2022 年 8 月活動(dòng)停止以來，WithSecure 研究人員觀察到從越南上傳到 VirusTotal 的多個(gè)開發(fā) DUCKTAIL 樣本。

其中一個(gè)示例是使用 .NET 7 的 NativeAOT 編譯的，它提供與 .NET Core 的單文件功能類似的功能，允許二進(jìn)制文件提前本地編譯。然而，NativeAOT 對(duì)第三方庫的支持有限，因此攻擊者轉(zhuǎn)而使用 .NET Core。

壞演員一直在試驗(yàn)

其他實(shí)驗(yàn)也被觀察到，例如包含來自 GitHub 項(xiàng)目的反分析代碼，但從未真正打開過，從命令和控制服務(wù)器發(fā)送電子郵件地址列表作為 .txt 文件的能力在惡意軟件中對(duì)它們進(jìn)行硬編碼，并在執(zhí)行惡意軟件時(shí)啟動(dòng)一個(gè)虛擬文件，以減少用戶的懷疑——觀察到文檔 (.docx)、電子表格 (.xlsx) 和視頻 (.mp4) 虛擬文件。

攻擊者還在測試多級(jí)加載程序以部署惡意軟件，例如 Excel 加載項(xiàng)文件 (.xll)，它從加密的 blob 中提取二級(jí)加載程序，然后最終下載信息竊取程序惡意軟件。研究人員還確定了一個(gè)用 .NET 編寫的下載程序，他們高度信任 DUCKTAIL，它執(zhí)行 PowerShell 命令，從 Discord 下載信息竊取程序。

infostealer 惡意軟件使用電報(bào)頻道進(jìn)行命令和控制。自從 8 月被曝光以來，攻擊者更好地鎖定了這些頻道，一些頻道現(xiàn)在有多個(gè)管理員，這可能表明他們正在運(yùn)行類似于勒索軟件團(tuán)伙的附屬程序。研究人員說：“聊天活動(dòng)的增加和新的文件加密機(jī)制可確保只有特定用戶能夠解密某些泄露的文件，這進(jìn)一步加強(qiáng)了這一點(diǎn)?！?/p>

瀏覽器劫持

部署后，DUCKTAIL 惡意軟件會(huì)掃描系統(tǒng)上安裝的瀏覽器及其 cookie 存儲(chǔ)路徑。然后它會(huì)竊取所有存儲(chǔ)的 cookie，包括存儲(chǔ)在其中的任何 Facebook 會(huì)話 cookie。會(huì)話 cookie 是網(wǎng)站在身份驗(yàn)證成功完成后在瀏覽器中設(shè)置的一個(gè)小標(biāo)識(shí)符，用于記住用戶已經(jīng)登錄了一段時(shí)間。

該惡意軟件使用 Facebook 會(huì)話 cookie 直接與 Facebook 頁面交互，或向 Facebook Graph API 發(fā)送請(qǐng)求以獲取信息。此信息包括個(gè)人帳戶的姓名、電子郵件、生日和用戶 ID；個(gè)人帳戶可以訪問的 Facebook 業(yè)務(wù)頁面的名稱、驗(yàn)證狀態(tài)、廣告限制、名稱、ID、賬戶狀態(tài)、廣告支付周期、貨幣、adtrust DSL 以及任何相關(guān) Facebook 廣告賬戶的花費(fèi)金額。

該惡意軟件還會(huì)檢查是否為被劫持的帳戶啟用了雙因素身份驗(yàn)證，并在啟用時(shí)使用活動(dòng)會(huì)話獲取 2FA 的備份代碼?！皬氖芎φ邫C(jī)器竊取的信息還允許威脅行為者從受害者機(jī)器外部嘗試這些活動(dòng)（以及其他惡意活動(dòng)）。研究人員說：“竊取的會(huì)話 cookie、訪問令牌、2FA 代碼、用戶代理、IP 地址和地理位置等信息，以及一般帳戶信息（如姓名和生日）可用于隱藏和冒充受害者。”

該惡意軟件旨在嘗試將攻擊者控制的電子郵件地址添加到被劫持的 Facebook 企業(yè)帳戶中，這些帳戶可能具有較高的身份：管理員和財(cái)務(wù)編輯。根據(jù) Facebook 所有者 Meta 的文檔，管理員可以完全控制帳戶，而財(cái)務(wù)編輯可以控制存儲(chǔ)在帳戶中的信用卡信息以及帳戶上的交易、發(fā)票和支出。他們還可以將外部業(yè)務(wù)添加到存儲(chǔ)的信用卡和月度發(fā)票中，從而使這些業(yè)務(wù)可以使用相同的付款方式。

冒充合法客戶經(jīng)理身份

在目標(biāo)受害者沒有足夠的訪問權(quán)限以允許惡意軟件將攻擊者的電子郵件地址添加到預(yù)期的企業(yè)帳戶的情況下，攻擊者依靠從受害者的機(jī)器和 Facebook 帳戶中泄露的信息來冒充他們。

在 WithSecure 事件響應(yīng)人員調(diào)查的一個(gè)案例中，受害者使用的是 Apple 機(jī)器，并且從未從 Windows 計(jì)算機(jī)登錄過 Facebook。系統(tǒng)上未發(fā)現(xiàn)惡意軟件，無法確定初始訪問向量。目前尚不清楚這是否與 DUCKTAIL 有關(guān)，但研究人員確定襲擊者也來自越南。

建議 Facebook Business 管理員定期審查在 Business Manager > Settings > People 下添加的用戶，并撤銷對(duì)任何授予管理員訪問權(quán)限或財(cái)務(wù)編輯角色的未知用戶的訪問權(quán)限。

在我們的調(diào)查中，WithSecure 事件響應(yīng)團(tuán)隊(duì)發(fā)現(xiàn)業(yè)務(wù)歷史日志和目標(biāo)個(gè)人的 Facebook 數(shù)據(jù)與事件分析相關(guān)?！叭欢?，對(duì)于與個(gè)人 Facebook 帳戶相關(guān)的日志，門戶網(wǎng)站上可見的內(nèi)容與下載數(shù)據(jù)副本時(shí)獲得的內(nèi)容之間存在廣泛的不一致。作為對(duì)其他調(diào)查人員的建議，WithSecure 事件響應(yīng)團(tuán)隊(duì)強(qiáng)烈建議盡快捕獲業(yè)務(wù)歷史日志的本地副本，并為其帳戶請(qǐng)求用戶數(shù)據(jù)的副本。

參考來源：https://www.csoonline.com/article/3681108/ducktail-malware-campaign-targeting-facebook-business-and-ads-accounts-is-back.html