SHEETCREEP:巴基斯坦政府的定制恶意软件操作如何因严重安全缺陷而崩溃
简介
在不断发展的网络战格局中,国家支持的行动往往代表着复杂性和隐秘性的顶峰。然而,最近发现的名为“SHEETCREEP”的恶意软件活动与这种预期形成了鲜明对比,据称该活动是巴基斯坦政府针对印度知名军事和政治人员开发的。这次行动之所以特别值得注意,不仅是因为它的野心,还因为关键的行动安全失败导致其完全暴露。
Securonix 安全研究人员发现的 SHEETCREEP 行动代表了网络战策略中一个有趣的案例研究,强调了指挥和控制 (C2) 通用平台的创新使用以及基本操作安全错误的灾难性后果。
SHEETCREEP 操作概述
SHEETCREEP 是一种定制恶意软件活动,据称由巴基斯坦政府实体精心策划,旨在监控和窃取印度目标的数据。此次行动的时间似乎与阿联酋-印度战略伙伴关系周同时进行,这表明可能试图在这一重大外交活动期间收集情报。
该活动针对巴基斯坦政府认为重要的 91 名个人,其中包括印度的军事人员和政治人物。这次行动表明了印度政府和军事机构内部情报收集的明确战略重点。
表:SHEETCREEP 操作概述
| 属性 |
详细信息 |
| 恶意软件名称 |
床单蠕变 |
| 涉嫌开发者 |
巴基斯坦政府 |
| 主要目标 |
印度军事和政治人员 |
| 目标数量 |
91人 |
| 时间 |
阿联酋-印度战略伙伴关系周 |
SHEETCREEP 恶意软件的技术分析
SHEETCREEP 的技术执行揭示了多个组件协同工作的多阶段感染过程。初始传递机制涉及恶意 .lnk(快捷方式)文件,这是鱼叉式网络钓鱼活动中的常见载体。执行时,此快捷方式文件会启动恶意 C# 代码,利用 Windows 的内置功能来执行 .NET 程序集。
一旦执行,恶意软件就会通过多种方法在受害者的系统上建立持久性。这可确保恶意软件在系统重新启动后保持活动状态,并在受感染的计算机上长期存在。持久性机制包括注册表修改和计划任务创建、恶意软件开发手册中的标准技术。
SHEETCREEP 最具创新性的方面是它使用 Google Sheets 作为命令和控制 (C2) 服务器。这种方法允许运营商利用合法的、广泛使用的平台与受感染的系统进行通信,由于流量看似良性,因此可能会使检测变得更加困难。
表:SHEETCREEP 技术组件
| 组件 |
函数 |
技术细节 |
| 首次交付 |
恶意.lnk文件 |
执行C#代码的快捷方式文件 |
| 坚持 |
系统级持久化 |
注册表修改、计划任务 |
| C2通信 |
数据泄露和命令接收 |
Google 表格作为 C2 服务器 |
| 数据泄露 |
被盗数据传输 |
渗入 Google 表格 |
定位策略
SHEETCREEP 行动展示了一种有针对性的目标定位方法,重点关注印度政府和军队内部有权访问敏感信息的个人。 91 个目标的选择建议根据可以从每个人收集的情报的感知价值确定优先级列表。
这次行动的时间安排在阿联酋-印度战略伙伴关系周期间,表明可能试图在印度和阿拉伯联合酋长国之间的外交活动频繁期间收集情报。这个时机可以为外交立场和潜在敏感讨论提供宝贵的见解。
使用带有恶意 .lnk 文件的鱼叉式网络钓鱼方法表明,攻击者对其目标有一定程度的了解,从而使他们能够制作出令人信服的诱饵,而收件人可能会打开这些诱饵。这种目标的复杂程度表明这是一次精心策划的情报收集行动。
关键的运营安全失败
尽管创新性地使用了 Google Sheets 作为 C2 平台,但 SHEETCREEP 操作仍因严重的操作安全错误而受到破坏:巴基斯坦政府对 Google C2 表进行了硬编码,并将访问密钥直接嵌入到恶意软件负载中。
此错误从根本上违反了网络战中的操作安全原则。通过对这些凭据进行硬编码,操作员确保如果恶意软件被发现并进行分析,安全研究人员将立即获得对整个命令基础设施的访问权限,包括所有目标的列表以及从中窃取的数据。
当安全研究人员发现该恶意软件并检查其代码时,他们发现了 Google Sheets C2 服务器的硬编码访问密钥。这使他们能够访问完整的目标数据库、操作范围以及从受感染系统中泄露的潜在数据。
表:SHEETCREEP 中的操作安全故障
| 安全失败 |
影响 |
最佳实践替代方案 |
| 硬编码的 C2 表 URL |
C2基础设施完全暴露 |
动态C2解析或加密配置 |
| 嵌入式访问密钥 |
未经授权访问所有受害者数据 |
从外部因素或加密存储中派生密钥 |
| C2 凭证缺乏加密 |
轻松发现所有目标和操作细节 |
对所有敏感配置数据进行强加密 |
影响和后果
SHEETCREEP 行动的曝光对网络安全和地缘政治关系都具有重大影响。对于巴基斯坦政府来说,其行动的完全妥协代表着重大的情报失败,可能会损害他们的监视能力并暴露他们的方法。
对于 91 名目标个人来说,他们受到外国政府监控的消息引发了人们对数据安全和隐私的严重担忧。虽然尚不清楚其中有多少目标实际上受到了损害,但了解成为目标可能会导致安全措施的加强和通信实践的改变。
此次行动还突显了国家资助的行为者使用 Google Sheets 等通用平台进行 C2 目的的趋势日益明显。这种方法允许攻击者混入合法流量,并可能绕过可能标记与未知服务器的通信的安全措施。
专家评论
网络安全专家指出,虽然 SHEETCREEP 的技术实施显示出一些创造力,但操作安全失败代表了高级持续威胁 (APT) 领域的初学者错误。
“使用 Google Sheets 作为 C2 服务器是一种有趣的策略,它展示了传统恶意软件剧本之外的思维,”一位分析该恶意软件的安全研究人员指出。 “然而,硬编码的凭据代表了操作安全性的灾难性失败,完全破坏了恶意软件可能表现出的任何技术复杂性。”
其他专家表示,该错误可能表明开发仓促,或者负责恶意软件的开发团队内部缺乏适当的安全协议。
保护措施
对于可能成为类似操作目标的组织和个人,安全专家建议采取几种保护措施:
- 电子邮件安全:实施高级电子邮件过滤以检测并阻止恶意 .lnk 文件和其他可疑附件。
- 用户教育:培训用户识别并避免可疑电子邮件和附件,尤其是与时事或外交活动相关的电子邮件和附件。
- 端点保护:部署能够识别和阻止可疑行为模式的高级端点检测和响应 (EDR) 解决方案。
- 网络监控:监控与 Google 表格等合法平台之间可能表明数据泄露的异常通信。
- 最小权限原则:限制用户权限,以最大程度地减少成功入侵造成的潜在损害。
结论
SHEETCREEP 行动是网络战世界的一个警示故事,它表明即使是资金充足的国家资助的行动也可能因基本的操作安全错误而被完全破坏。 Google Sheets 作为 C2 平台的创新使用因硬编码凭据的严重错误而黯然失色,导致操作完全暴露。
随着国家支持的网络行动不断发展,我们预计会看到日益复杂的技术和偶尔导致其暴露的安全漏洞。 SHEETCREEP 案例提醒我们,在网络战领域,仅靠技术复杂性是不够的,操作安全仍然至关重要。
对于网络安全界来说,SHEETCREEP 的分析为国家资助的行为者所使用的策略、技术和程序 (TTP) 提供了宝贵的见解,有助于针对未来的类似行动制定更好的防御措施。
> 巴基斯坦政府
> 开发定制恶意软件
> 用于瞄准高调目标
> 用于针对印度军事和政治人士
> 命名为 SHEETCREEP
> 发送印度 ppl 文件
> 阿联酋-印度战略伙伴关系周
> 恶意.lnk 文件
> .lnk 执行恶意 C Sharp 代码
> 做了很多事情来坚持
> 将数据泄露到 Google Sheets
> Google Sheets 可用于控制受害者电脑
> 巴基斯坦政府对 google c2 表进行硬编码
> 巴基斯坦政府硬编码 GOOGLE C2 表
> 将访问密钥嵌入到有效负载中
> 在有效负载中嵌入访问密钥
> 恶意软件迷发现它
> 看看里面
> 查找巴基斯坦政府的所有目标
> 监控 91 个他们认为重要的人
他们一开始就很强势。为什么你要硬编码一切。你毁掉了你的手术
https://www.securonix.com/blog/sheetcreep-evolved-google-sheets-rat/
> 成为巴基斯坦政府
> 开发定制恶意软件
> 用于瞄准高调目标
> 用于针对印度军事和政治人士
> 命名为 SHEETCREEP
> 发送印度 ppl 文件
> 阿联酋-印度战略伙伴关系周
> 恶意.lnk 文件
> .lnk 执行恶意 C Sharp 代码
> 做了很多事情来坚持
> 将数据泄露到 Google Sheets
> Google Sheets 可用于控制受害者电脑
> 巴基斯坦政府对 google c2 表进行硬编码
> 巴基斯坦政府硬编码 GOOGLE C2 表
> 将访问密钥嵌入到有效负载中
> 在有效负载中嵌入访问密钥
> 恶意软件迷发现它
> 看看里面
> 查找巴基斯坦政府的所有目标
> 监控 91 个他们认为重要的人
他们一开始就很强势。为什么你要硬编码一切。你毁掉了你的手术
https://www.securonix.com/blog/sheetcreep-evolved-google-sheets-rat/
TechOffice
