一群攻击者,可能位于越南,专门针对可能有权访问Facebook业务和广告管理帐户的员工,在首次曝光几个月后重新出现并发生变化其基础设施、恶意软件和作案手法之前。被WithSecure研究人员称为DUCKTAIL的该组织使用鱼叉式网络钓鱼来针对LinkedIn上的个人,根据他们的职位描述,这些人可能有权管理Facebook企业帐户。最近,还观察到攻击者通过WhatsApp瞄准受害者。受感染的Facebook商业帐户用于在平台上投放广告,以获取攻击者的经济利益。DUCKTAIL攻击者通过伪装成与品牌、产品和项目规划相关的文档的恶意软件程序,使用受害者的浏览器进行研究帐户滥用。攻击者首先构建一个在Facebook上有业务页面的公司列表。然后,他们在LinkedIn和其他资源中搜索为这些公司工作的员工,以及职位允许他们访问这些业务页面的员工。这些包括管理、数字营销、数字媒体和人力资源角色。最后一步是向他们发送一个链接,其中包含伪装成.pdf格式的恶意软件存档,以及看似属于同一项目的图像和视频。研究人员看到的一些文件名包括项目“开发计划”、“项目信息”、“产品”和“新项目预算业务计划”。DUCKTAIL组织自2021年下半年以来一直在运行此活动。在8月WithSecure暴露其操作后,该活动停止,攻击者重新设计了他们的一些工具集。攻击者转而使用GlobalSign作为证书颁发机构今年早些时候分析的恶意软件样本是使用以一家越南公司的名义从Sectigo获得的合法代码签名证书进行数字签名的。由于此证书已被报告和撤销,攻击者已切换到GlobalSign作为他们的证书颁发机构。他们继续以原来公司的名义向多个CA申请证书的同时,还建立了另外六家企业,全部使用越南语,其中三家获得了代码签名证书。2021年底出现的DUCKTAIL恶意软件样本是用.NETCore编写的,并使用框架的单文件功能进行编译,该功能将所有必需的库和文件捆绑到一个可执行文件中,包括主程序集。这确保恶意软件可以在任何Windows计算机上执行,无论它是否安装了.NET运行时。自2022年8月活动停止以来,WithSecure研究人员观察到多个被利用的DUCKTAIL样本从越南上传到VirusTotal。其中一个示例是使用.NET7的NativeAOT编译的,它提供的功能类似于.NETCore的单文件功能,允许提前本机编译二进制文件。然而,NativeAOT对第三方库的支持有限,因此攻击者转向了.NETCore。不良行为者一直在尝试其他已观察到的实验,例如包含来自GitHub项目但从未真正打开它的反分析代码,以及从命令和命令将电子邮件地址列表作为.txt文件发送的能力-恶意软件中的控制服务器它们被硬编码并在执行恶意软件时启动虚拟文件以减少用户怀疑-观察到文档(.docx)、电子表格(.xlsx)和视频(.mp4)虚拟文件。攻击者还在测试多级加载程序以部署恶意软件,例如Excel加载项文件(.xll),它从加密的blob中提取二级加载程序,然后最终下载信息窃取恶意软件。研究人员还发现了一个用.NET编写的下载程序,他们高度信任DUCKTAIL,它执行PowerShell命令从Discord下载信息窃取程序。infostealer恶意软件使用电报频道进行命令和控制。自8月披露以来,攻击者更善于瞄准频道,一些频道现在有多个管理员,这可能表明他们正在运行类似于勒索软件团伙的附属程序。研究人员说:“聊天活动的增加和确保只有特定用户才能解密某些泄露文件的新文件加密机制进一步加强了这一点。”部署浏览器劫持程序后,DUCKTAIL恶意软件会扫描系统以查找已安装的浏览器及其cookie存储路径。然后它会窃取所有存储的cookie,包括存储在其中的任何Facebook会话cookie。会话cookie是网站在身份验证成功完成后在浏览器中设置的一个小标识符,用于记住用户已登录一段时间。该恶意软件使用Facebook会话cookie直接与Facebook页面交互或向FacebookGraphAPI发送信息请求。此信息包括个人帐户的名称、电子邮件、生日和用户ID;个人帐户可以访问的Facebook业务页面的名称、验证状态、广告限制、名称、ID、帐户状态、广告支付周期、货币、adtrustDSL,以及在关联的FacebookAds帐户上花费的金额。该恶意软件还会检查是否为被劫持的帐户启用了双因素身份验证,如果启用,则使用活动会话获取2FA的备份代码。“从受害者机器窃取的信息还允许威胁行为者从受害者机器外部尝试这些活动(以及其他恶意活动)。被盗的会话cookie、访问令牌、2FA代码、用户代理、IP地址,”研究人员说。位置和位置等信息以及姓名和生日等一般帐户信息可用于隐藏和冒充受害者。“该恶意软件旨在尝试将攻击者控制的电子邮件地址添加到被劫持的Facebook商业帐户中,这些帐户可能具有高身份:管理员和财经编辑。根据Facebook所有者Meta的文件,管理员对帐户具有完全控制权,而财经编辑可以控制账户中存储的信用卡信息和账户上的交易、发票、费用。他们还可以将外部业务添加到存储的信用卡和月度发票中,使这些业务可以使用相同的支付方式。冒充一个合法的客户经理如果目标受害者没有足够的访问权限允许恶意软件将攻击者的电子邮件地址添加到预期的企业帐户,攻击者依赖在WithSecure事件响应者调查的一个案例中,受害者使用的是Apple机器并且从未从Windows计算机登录过Facebook。在系统上未发现恶意软件,并且无法确定初始访问向量。目前尚不清楚这是否与DUCKTAIL有关,但研究人员确定袭击者也来自越南。建议FacebookBusiness管理员定期审查在BusinessManager>Settings>People下添加的用户,并撤销授予编辑角色的未知用户的管理员访问权限或财务访问权限。在我们的调查过程中,WithSecure事件响应团队发现目标个人的业务历史日志和Facebook数据与事件分析相关。”但是,对于与个人Facebook帐户相关的日志,门户网站可见的内容与下载数据副本时所获得的内容之间存在普遍的不一致。作为对其他调查人员的建议,WithSecure事件响应团队强烈建议尽快捕获业务历史日志的本地副本,并为其帐户索取用户数据的副本。参考来源:https://www.csoonline.com/article/3681108/ducktail-malware-campaign-targeting-facebook-business-and-ads-accounts-is-back.html
