SHEETCREEP: пакистанское вредоносное ПО с фатальным недостатком безопасности

Ярким примером провала оперативной безопасности стало обнаружение исследователями сложного специального вредоносного ПО, предположительно разработанного правительством Пакистана для нападения на высокопоставленных индийских военных и политических деятелей. Вредоносное ПО под названием SHEETCREEP представляет собой инновационный подход к кибершпионажу, но в конечном итоге подорвало себя из-за критического контроля безопасности.

Обнаружение SHEETCREEP

Сообщество кибербезопасности недавно привлекло внимание к SHEETCREEP, специально созданному вредоносному ПО, которое, судя по всему, является частью спонсируемой государством кибероперации против Индии. Вредоносное ПО было обнаружено во время Недели стратегического партнерства между ОАЭ и Индией, что позволяет предположить, что оно потенциально связано с дипломатическими событиями между двумя странами.

Исследователи Securonix, ведущей компании в области кибербезопасности, идентифицировали вредоносное ПО после анализа подозрительных файлов, отправленных индийским объектам. Расследование выявило сложную операцию со значительными техническими возможностями, в конечном итоге омраченную фундаментальной ошибкой в оперативной безопасности.

Техническая архитектура SHEETCREEP

SHEETCREEP использует многоэтапный процесс заражения, который начинается с вредоносного файла .lnk (ярлыка). При запуске этот ярлык запускает вредоносный код C#, который обеспечивает постоянство в системе жертвы. Затем вредоносное ПО передает конфиденциальные данные в документ Google Таблиц, который служит сервером управления и контроля (C2).

Использование Google Таблиц в качестве сервера C2 представляет собой инновационный подход, позволяющий использовать законные облачные сервисы в злонамеренных целях. Этот метод позволяет операторам поддерживать связь с зараженными системами, потенциально обходя традиционные меры безопасности, которые могут пометить выделенные серверы или инфраструктуру.

Критический недостаток безопасности

Несмотря на техническую сложность, SHEETCREEP содержит критический контроль безопасности, который в конечном итоге привел к его обнаружению и раскрытию. Правительство Пакистана якобы жестко запрограммировало URL-адрес сервера Google Sheets C2 и ключ доступа непосредственно в полезные данные вредоносного ПО.

Эта ошибка операционной безопасности особенно вопиющая в контексте спонсируемых государством киберопераций. Надлежащие методы эксплуатационной безопасности потребуют использования динамических или зашифрованных конфигураций, которые можно будет изменить без изменения самого вредоносного ПО. Запрограммированные учетные данные по сути предоставляют исследователям план всей операции.

Почему жесткое кодирование учетных данных является критической ошибкой

Позволяет исследователям идентифицировать инфраструктуру C2.

Показывает конкретный используемый документ Google Таблиц.

Предоставляет ключ доступа, необходимый для управления зараженными системами.

Отображает весь список целей и операций.

Делает невозможным изменение инфраструктуры без повторного развертывания вредоносного ПО.

Обнаружение и анализ

Исследователи безопасности, получившие образцы SHEETCREEP, сразу же осознали важность жестко запрограммированных учетных данных. Изучив эти встроенные данные, они смогли получить доступ к документу Google Sheets, который служил сервером C2 для вредоносного ПО.

Документ содержал ценнейшую информацию об операции, в том числе:

Полный список целевых лиц и организаций.

Подробная информация о кампании по заражению

Способы общения между зараженными системами и операторами

Отфильтрованные данные из скомпрометированных систем.

Исследователи обнаружили, что правительство Пакистана следило за 91 человеком, которого они считали важным, в первую очередь военным и политическим персоналом в Индии. Этот список представляет собой конкретные доказательства скоординированной операции кибершпионажа, направленной против конкретных особо ценных лиц.

Функция	Описание
Способ доставки	Вредоносные файлы .lnk отправлены на адресаты
Выполнение	Вредоносный код C#, выполняемый с помощью ярлыка
Постоянство	Несколько механизмов обеспечения доступа
Кража данных	Отправлено в документ Google Таблиц
Коммуникация C2	Google Таблицы используются в качестве сервера управления и контроля

Выводы и уроки

Инцидент с SHEETCREEP служит предостережением о важности оперативной безопасности в кибероперациях. Несмотря на разработку технически сложного вредоносного ПО, операторы не смогли реализовать базовые меры безопасности, которые могли бы защитить их работу.

Этот инцидент также подчеркивает растущую тенденцию того, что спонсируемые государством субъекты используют законные облачные сервисы в злонамеренных целях. Используя Google Таблицы в качестве сервера C2, операторы попытались совместить свою деятельность с обычным использованием облака, что потенциально затруднило обнаружение.

Для профессионалов в области кибербезопасности случай SHEETCREEP предлагает ценную информацию о тактиках, методах и процедурах (TTP), используемых спонсируемыми государством субъектами. Понимание этих методов помогает организациям разработать более эффективную защиту от подобных угроз.

Заключение

SHEETCREEP представляет собой как техническую инновацию, так и операционный провал в сфере киберопераций, спонсируемых государством. Использование вредоносным ПО Google Таблиц в качестве сервера C2 демонстрирует творческий подход к решению проблем, однако жестко закодированные учетные данные свидетельствуют о фундаментальном непонимании операционной безопасности.

По мере того, как исследователи продолжают анализировать вредоносное ПО и связанную с ним инфраструктуру, полный масштаб операции может стать более ясным. Между тем, инцидент с SHEETCREEP служит напоминанием о том, что даже самые сложные кибероперации могут быть отменены из-за элементарных нарушений безопасности.

Для организаций и частных лиц, которые потенциально могут оказаться под прицелом спонсируемых государством субъектов, этот инцидент подчеркивает важность надежных мер кибербезопасности, включая безопасность электронной почты, защиту конечных точек и обучение пользователей навыкам обнаружения и предотвращения таких изощренных атак.

> быть правительством Пакистана >разрабатывать собственное вредоносное ПО > используется для таргетинга на высокопоставленные цели > используется против индийских военных и политических деятелей > по имени ШИТКРИП > отправить индийский файл PPL > Неделя стратегического партнерства ОАЭ и Индии > вредоносный файл .lnk > .lnk выполняет вредоносный код c Sharp >делает кучу вещей для настойчивости > переносит данные в Google Таблицы > Google Sheets можно использовать для управления компьютерами жертв > Жесткие коды правительства Пакистана в Google C2 > ХАРДКОДЫ ПРАВИТЕЛЬСТВА ПАКИСТАНА GOOGLE C2 > встроить ключ доступа в полезную нагрузку > ВСТРОИТЬ КЛЮЧ ДОСТУПА В ПОЛЕЗНУЮ НАГРУЗКУ > знатоки вредоносного ПО находят это > заглянуть внутрь >найди все цели правительства Пакистана > мониторинг 91 человека, который они считают важным ОНИ НАЧИНАЛИ ТАК СИЛЬНО. ПОЧЕМУ ВЫ ВСЕ ХАРДКОДИРОВАЛИ. ВЫ СОЖГЛИ СВОЮ ОПЕРАЦИЮ https://www.securonix.com/blog/sheetcreep-evolved-google-sheets-rat/ >быть правительством Пакистана >разрабатывать собственное вредоносное ПО > используется для таргетинга на высокопоставленные цели > используется против индийских военных и политических деятелей > по имени ШИТКРИП > отправить индийский файл PPL > Неделя стратегического партнерства ОАЭ и Индии > вредоносный файл .lnk > .lnk выполняет вредоносный код c Sharp >делает кучу вещей для настойчивости > переносит данные в Google Таблицы > Google Sheets можно использовать для управления компьютерами жертв > Жесткие коды правительства Пакистана в Google C2 > ХАРДКОДЫ ПРАВИТЕЛЬСТВА ПАКИСТАНА GOOGLE C2 > встроить ключ доступа в полезную нагрузку > ВСТРОИТЬ КЛЮЧ ДОСТУПА В ПОЛЕЗНУЮ НАГРУЗКУ > знатоки вредоносного ПО находят это > заглянуть внутрь >найди все цели правительства Пакистана > мониторинг 91 человека, который они считают важным ОНИ НАЧИНАЛИ ТАК СИЛЬНО. ПОЧЕМУ ВЫ ВСЕ ХАРДКОДИРОВАЛИ. ВЫ СОЖГЛИ СВОЮ ОПЕРАЦИЮ https://www.securonix.com/blog/sheetcreep-evolved-google-sheets-rat/

Компонент обнаружения	Значимость
Жестко запрограммированный URL-адрес Google Таблиц	Определена инфраструктура сервера C2
Встроенный ключ доступа	Предоставлены учетные данные для доступа к серверу C2
Список целей	Выявлено 91 отслеживаемое лицо
Подробности операции	Показаны масштабы и цели кампании