SHEETCREEP：具有致命安全缺陷的巴基斯坦定制恶意软件

在操作安全失败的一个引人注目的例子中，研究人员发现了一种复杂的定制恶意软件，据称是巴基斯坦政府开发的，旨在针对印度知名军事和政治人员。该恶意软件名为 SHEETCREEP，代表了一种网络间谍活动的创新方法，但最终通过关键的安全监督破坏了自身。

发现羊羔草

网络安全社区最近引起了对 SHEETCREEP 的关注，这是一种定制的恶意软件，似乎是国家资助的针对印度的网络行动的一部分。该恶意软件是在阿联酋-印度战略伙伴关系周期间发现的，暗示了两国之间外交事件的潜在时机或相关性。

领先的网络安全公司 Securonix 的研究人员在分析发送到印度目标的可疑文件后发现了该恶意软件。调查显示，这是一次具有重要技术能力的复杂操作，最终因操作安全方面的根本性错误而受到损害。

SHEETCREEP技术架构

SHEETCREEP 采用多阶段感染过程，从恶意 .lnk（快捷方式）文件开始。执行时，此快捷方式会启动恶意 C# 代码，在受害者的系统上建立持久性。然后，恶意软件将敏感数据渗透到 Google 表格文档中，该文档充当命令和控制 (C2) 服务器。

使用 Google Sheets 作为 C2 服务器代表了一种利用合法云服务进行恶意目的的创新方法。这种技术允许操作员与受感染的系统保持通信，同时可能规避可能标记专用服务器或基础设施的传统安全措施。

严重的安全缺陷

尽管其技术复杂，但 SHEETCREEP 包含关键的安全监督，最终导致其被发现和曝光。据称，巴基斯坦政府将 Google Sheets C2 服务器 URL 和访问密钥直接硬编码到恶意软件负载中。

在国家支持的网络行动的背景下，这种操作安全错误尤其严重。正确的操作安全实践需要使用动态或加密的配置，这些配置可以在不修改恶意软件本身的情况下进行更改。硬编码凭证本质上为研究人员提供了整个操作的路线图。

为什么硬编码凭据是一个严重错误

• 允许研究人员识别 C2 基础设施
• 显示正在使用的特定 Google 表格文档
• 提供控制受感染系统所需的访问密钥
• 公开目标和操作的完整列表
• 无法在不重新部署恶意软件的情况下更改基础架构

发现与分析

获得 SHEETCREEP 样本的安全研究人员立即认识到硬编码凭据的重要性。通过检查这些嵌入的详细信息，他们能够访问充当恶意软件 C2 服务器的 Google 表格文档。

该文件包含有关该行动的大量信息，包括：

• 目标个人和组织的完整列表
• 有关感染活动的详细信息
• 受感染系统和操作员之间的通信模式
• 从受感染的系统中窃取数据

研究人员发现，巴基斯坦政府正在监视他们认为重要的 91 名个人，主要是印度的军事和政治人员。该列表提供了针对特定高价值个人的协调网络间谍行动的具体证据。

功能	描述
送货方式	发送到目标的恶意 .lnk 文件
执行	通过快捷方式执行的恶意C#代码
坚持	维持访问的多种机制
数据泄露	发送至 Google 表格文档
C2通信	Google Sheets 用作命令和控制服务器

启示和教训

SHEETCREEP 事件是关于网络运营中运营安全重要性的警示。尽管开发了技术复杂的恶意软件，但运营商未能实施可以保护其运营的基本安全实践。

该事件还突显了国家资助的行为者利用合法云服务进行恶意目的的日益增长的趋势。通过使用 Google Sheets 作为 C2 服务器，操作员试图将其活动与正常的云使用混合在一起，这可能会使检测变得更加困难。

对于网络安全专业人士来说，SHEETCREEP 案例提供了有关国家资助行为者所使用的策略、技术和程序 (TTP) 的宝贵见解。了解这些方法有助于组织更好地防御类似威胁。

结论

SHEETCREEP 代表了国家资助的网络运营领域的技术创新和运营失败。该恶意软件使用 Google Sheets 作为 C2 服务器，展示了创造性的问题解决能力，但硬编码的凭据揭示了对操作安全性的根本误解。

随着研究人员继续分析恶意软件及其相关基础设施，操作的全部范围可能会变得更加清晰。与此同时，SHEETCREEP 事件提醒我们，即使是最复杂的网络操作也可以通过基本的安全监督来撤销。

对于可能成为国家资助行为者目标的组织和个人来说，该事件强调了强有力的网络安全措施的重要性，包括电子邮件安全、端点保护和用户意识培训，以检测和防止此类复杂的攻击。

> 巴基斯坦政府 > 开发定制恶意软件 > 用于瞄准高调目标 > 用于针对印度军事和政治人士 > 命名为 SHEETCREEP > 发送印度 ppl 文件 > 阿联酋-印度战略伙伴关系周 > 恶意.lnk 文件 > .lnk 执行恶意 C Sharp 代码 > 做了很多事情来坚持 > 将数据泄露到 Google Sheets > Google Sheets 可用于控制受害者电脑 > 巴基斯坦政府对 google c2 表进行硬编码 > 巴基斯坦政府硬编码 GOOGLE C2 表 > 将访问密钥嵌入到有效负载中 > 在有效负载中嵌入访问密钥 > 恶意软件迷发现它 > 看看里面 > 查找巴基斯坦政府的所有目标 > 监控 91 个他们认为重要的人 他们一开始就很强势。为什么你要硬编码一切。你毁掉了你的手术 https://www.securonix.com/blog/sheetcreep-evolved-google-sheets-rat/ > 成为巴基斯坦政府 > 开发定制恶意软件 > 用于瞄准高调目标 > 用于针对印度军事和政治人士 > 命名为 SHEETCREEP > 发送印度 ppl 文件 > 阿联酋-印度战略伙伴关系周 > 恶意.lnk 文件 > .lnk 执行恶意 C Sharp 代码 > 做了很多事情来坚持 > 将数据泄露到 Google Sheets > Google Sheets 可用于控制受害者电脑 > 巴基斯坦政府对 google c2 表进行硬编码 > 巴基斯坦政府硬编码 GOOGLE C2 表 > 将访问密钥嵌入到有效负载中 > 在有效负载中嵌入访问密钥 > 恶意软件迷发现它 > 看看里面 > 查找巴基斯坦政府的所有目标 > 监控 91 个他们认为重要的人 他们一开始就很强势。为什么你要硬编码一切。你毁掉了你的手术 https://www.securonix.com/blog/sheetcreep-evolved-google-sheets-rat/

发现组件	意义
硬编码的 Google 表格 URL	确定了 C2 服务器基础设施
嵌入式访问密钥	提供访问 C2 服务器的凭据
目标列表	披露了 91 名受监控人员
操作详情	展示了活动的范围和目标