SHEETCREEP: Phần mềm độc hại tùy chỉnh của Pakistan có lỗ hổng bảo mật nghiêm trọng

Trong một ví dụ nổi bật về lỗi bảo mật trong hoạt động, các nhà nghiên cứu đã phát hiện ra một phần mềm độc hại tùy chỉnh tinh vi được cho là do chính phủ Pakistan phát triển để nhắm mục tiêu vào các quan chức chính trị và quân sự cấp cao của Ấn Độ. Phần mềm độc hại có tên SHEETCREEP, thể hiện một cách tiếp cận sáng tạo đối với hoạt động gián điệp trên mạng nhưng cuối cùng lại tự hủy hoại chính nó thông qua cơ chế giám sát an ninh quan trọng.

Khám phá SHEETCREEP

Cộng đồng an ninh mạng gần đây đã thu hút sự chú ý đến SHEETCREEP, một phần mềm độc hại được tạo riêng có vẻ như là một phần của hoạt động mạng do nhà nước tài trợ chống lại Ấn Độ. Phần mềm độc hại được phát hiện trong Tuần lễ Đối tác Chiến lược UAE-Ấn Độ, cho thấy thời điểm có thể xảy ra hoặc mức độ liên quan đến các sự kiện ngoại giao giữa hai quốc gia.

Các nhà nghiên cứu từ Securonix, một công ty an ninh mạng hàng đầu, đã xác định được phần mềm độc hại sau khi phân tích các tệp đáng ngờ được gửi đến các mục tiêu ở Ấn Độ. Cuộc điều tra đã tiết lộ một hoạt động phức tạp với khả năng kỹ thuật quan trọng, cuối cùng đã bị hủy hoại bởi một sai lầm cơ bản trong hoạt động bảo mật.

Kiến trúc kỹ thuật của SHEETCREEP

SHEETCREEP sử dụng quy trình lây nhiễm nhiều giai đoạn bắt đầu bằng tệp .lnk (phím tắt) độc hại. Khi được thực thi, phím tắt này sẽ khởi chạy mã C# độc hại nhằm thiết lập sự tồn tại lâu dài trên hệ thống của nạn nhân. Sau đó, phần mềm độc hại tiến hành lọc dữ liệu nhạy cảm sang tài liệu Google Trang tính, đóng vai trò là máy chủ ra lệnh và kiểm soát (C2).

Việc sử dụng Google Trang tính làm máy chủ C2 thể hiện một cách tiếp cận đổi mới nhằm tận dụng các dịch vụ đám mây hợp pháp cho các mục đích xấu. Kỹ thuật này cho phép người vận hành duy trì liên lạc với các hệ thống bị lây nhiễm trong khi có khả năng trốn tránh các biện pháp bảo mật truyền thống có thể gắn cờ các máy chủ hoặc cơ sở hạ tầng chuyên dụng.

Lỗ hổng bảo mật nghiêm trọng

Mặc dù có sự phức tạp về mặt kỹ thuật, SHEETCREEP vẫn có cơ chế giám sát bảo mật quan trọng mà cuối cùng dẫn đến việc nó bị phát hiện và bị lộ. Chính phủ Pakistan bị cáo buộc đã mã hóa cứng URL máy chủ Google Trang tính C2 và khóa truy cập trực tiếp vào phần mềm độc hại.

Lỗi bảo mật hoạt động này đặc biệt nghiêm trọng trong bối cảnh các hoạt động mạng được nhà nước tài trợ. Các biện pháp bảo mật vận hành phù hợp sẽ yêu cầu sử dụng cấu hình động hoặc cấu hình được mã hóa có thể thay đổi mà không cần sửa đổi phần mềm độc hại. Thông tin xác thực được mã hóa cứng về cơ bản cung cấp cho các nhà nghiên cứu lộ trình cho toàn bộ hoạt động.

Tại sao thông tin xác thực mã hóa cứng lại là lỗi nghiêm trọng

• Cho phép các nhà nghiên cứu xác định cơ sở hạ tầng C2
• Hiển thị tài liệu Google Trang tính cụ thể đang được sử dụng
• Cung cấp khóa truy cập cần thiết để kiểm soát các hệ thống bị nhiễm
• Hiển thị toàn bộ danh sách mục tiêu và hoạt động
• Không thể thay đổi cơ sở hạ tầng mà không triển khai lại phần mềm độc hại

Khám phá và phân tích

Các nhà nghiên cứu bảo mật đã lấy được mẫu SHEETCREEP ngay lập tức nhận ra tầm quan trọng của thông tin xác thực được mã hóa cứng. Bằng cách kiểm tra các chi tiết được nhúng này, họ có thể truy cập vào tài liệu Google Trang tính đóng vai trò là máy chủ C2 cho phần mềm độc hại.

Tài liệu chứa đựng một kho tàng thông tin về hoạt động này, bao gồm:

• Danh sách đầy đủ các cá nhân và tổ chức bị nhắm mục tiêu
• Chi tiết về chiến dịch lây nhiễm
• Mô hình liên lạc giữa hệ thống bị nhiễm và người vận hành
• Dữ liệu được lọc từ các hệ thống bị xâm nhập

Các nhà nghiên cứu phát hiện ra rằng chính phủ Pakistan đang theo dõi 91 cá nhân mà họ cho là quan trọng, chủ yếu là các nhân viên quân sự và chính trị ở Ấn Độ. Danh sách này cung cấp bằng chứng cụ thể về một hoạt động gián điệp mạng có phối hợp nhắm vào các cá nhân cụ thể có giá trị cao.

Tính năng	Mô tả
Phương thức giao hàng	Các tệp .lnk độc hại được gửi tới mục tiêu
Thực thi	Mã C# độc hại được thực thi qua phím tắt
Kiên trì	Nhiều cơ chế để duy trì quyền truy cập
Lọc dữ liệu	Đã gửi tới tài liệu Google Trang tính
Giao tiếp C2	Google Trang tính được dùng làm máy chủ chỉ huy và điều khiển

Ý nghĩa và bài học

Sự cố SHEETCREEP đóng vai trò như một câu chuyện cảnh báo về tầm quan trọng của an ninh vận hành trong các hoạt động mạng. Mặc dù đã phát triển một loại phần mềm độc hại phức tạp về mặt kỹ thuật nhưng những kẻ khai thác đã không triển khai các biện pháp bảo mật cơ bản có thể bảo vệ hoạt động của chúng.

Vụ việc cũng nêu bật xu hướng ngày càng tăng của các tác nhân được nhà nước bảo trợ tận dụng các dịch vụ đám mây hợp pháp cho mục đích xấu. Bằng cách sử dụng Google Trang tính làm máy chủ C2, các nhà khai thác đã cố gắng kết hợp các hoạt động của họ với việc sử dụng đám mây thông thường, điều này có thể khiến việc phát hiện trở nên khó khăn hơn.

Đối với các chuyên gia an ninh mạng, vụ việc SHEETCREEP cung cấp những hiểu biết có giá trị về chiến thuật, kỹ thuật và quy trình (TTP) được các tác nhân được nhà nước bảo trợ sử dụng. Việc hiểu rõ các phương pháp này giúp các tổ chức phát triển khả năng phòng vệ tốt hơn trước các mối đe dọa tương tự.

Kết luận

SHEETCREEP thể hiện cả sự đổi mới kỹ thuật lẫn sự thất bại trong hoạt động trong lĩnh vực hoạt động mạng do nhà nước tài trợ. Việc phần mềm độc hại sử dụng Google Trang tính làm máy chủ C2 cho thấy khả năng giải quyết vấn đề một cách sáng tạo nhưng thông tin xác thực được mã hóa cứng cho thấy sự hiểu lầm cơ bản về bảo mật hoạt động.

Khi các nhà nghiên cứu tiếp tục phân tích phần mềm độc hại và cơ sở hạ tầng liên quan của nó, toàn bộ hoạt động có thể trở nên rõ ràng hơn. Trong khi đó, sự cố SHEETCREEP là lời nhắc nhở rằng ngay cả những hoạt động mạng phức tạp nhất cũng có thể bị vô hiệu hóa chỉ bằng những sơ suất cơ bản về bảo mật.

Đối với các tổ chức và cá nhân nằm trong tầm ngắm tiềm năng của các tác nhân được nhà nước bảo trợ, vụ việc này nhấn mạnh tầm quan trọng của các biện pháp an ninh mạng mạnh mẽ, bao gồm bảo mật email, bảo vệ điểm cuối và đào tạo nâng cao nhận thức cho người dùng để phát hiện và ngăn chặn các cuộc tấn công tinh vi như vậy.

> hãy là chính phủ Pakistan > phát triển phần mềm độc hại tùy chỉnh > được sử dụng để nhắm mục tiêu các mục tiêu cao cấp > được sử dụng để chống lại quân đội và chính trị Ấn Độ > có tên là SHEETCREEP > gửi tập tin ppl Ấn Độ > Tuần lễ đối tác chiến lược UAE-Ấn Độ > tập tin .lnk độc hại > .lnk thực thi mã nhọn c độc hại > thực hiện rất nhiều thứ để có được sự kiên trì > lọc dữ liệu sang Google Trang tính > Google Sheets có thể được sử dụng để kiểm soát máy tính của nạn nhân > mã cứng của chính phủ Pakistan bảng google c2 > BẢNG CỨNG CỦA CHÍNH PHỦ PAKISTAN GOOGLE C2 > nhúng khóa truy cập vào tải trọng > Nhúng KHÓA TRUY CẬP TRONG TẢI TRỌNG > những người đam mê phần mềm độc hại sẽ tìm thấy nó > nhìn vào bên trong > tìm tất cả các mục tiêu từ chính phủ Pakistan > giám sát 91 người mà họ cho là quan trọng HỌ BẮT ĐẦU RẤT MẠNH MẼ. TẠI SAO BẠN LÀM MÃ CỨNG MỌI THỨ. BẠN ĐÃ CHÁY HOẠT ĐỘNG CỦA BẠN https://www.securonix.com/blog/sheetcreep-evolve-google-sheets-rat/ > là chính phủ Pakistan > phát triển phần mềm độc hại tùy chỉnh > được sử dụng để nhắm mục tiêu các mục tiêu cao cấp > được sử dụng để chống lại quân đội và chính trị Ấn Độ > có tên là SHEETCREEP > gửi tập tin ppl Ấn Độ > Tuần lễ đối tác chiến lược UAE-Ấn Độ > tập tin .lnk độc hại > .lnk thực thi mã nhọn c độc hại > thực hiện rất nhiều thứ để có được sự kiên trì > lọc dữ liệu sang Google Trang tính > Google Sheets có thể được sử dụng để kiểm soát máy tính của nạn nhân > mã cứng của chính phủ Pakistan bảng google c2 > BẢNG CỨNG CỦA CHÍNH PHỦ PAKISTAN GOOGLE C2 > nhúng khóa truy cập vào tải trọng > Nhúng KHÓA TRUY CẬP TRONG TẢI TRỌNG > những người đam mê phần mềm độc hại sẽ tìm thấy nó > nhìn vào bên trong > tìm tất cả các mục tiêu từ chính phủ Pakistan > giám sát 91 người mà họ cho là quan trọng HỌ BẮT ĐẦU RẤT MẠNH MẼ. TẠI SAO BẠN LÀM MÃ CỨNG MỌI THỨ. BẠN ĐÃ CHÁY HOẠT ĐỘNG CỦA BẠN https://www.securonix.com/blog/sheetcreep-evolve-google-sheets-rat/

Thành phần khám phá	Ý nghĩa
URL Google Trang tính được mã hóa cứng	Đã xác định được cơ sở hạ tầng máy chủ C2
Khóa truy cập được nhúng	Cung cấp thông tin xác thực để truy cập máy chủ C2
Danh sách mục tiêu	Tiết lộ 91 cá nhân bị theo dõi
Chi tiết hoạt động	Thể hiện phạm vi và mục tiêu của chiến dịch