Phát hiện malware Speagle: Ẩn mình trong Cobra DocGuard để thu thập dữ liệu nhạy cảm

[Nguyễn Tiến Đạt]

Một loại mã độc mới mang tên Speagle vừa được phát hiện có khả năng lợi dụng phần mềm bảo mật hợp pháp để âm thầm thu thập và đánh cắp dữ liệu nhạy cảm, làm dấy lên lo ngại về các cuộc tấn công mạng có chủ đích.

Theo các nhà nghiên cứu từ Symantec và VMware Carbon Black, Speagle được thiết kế để khai thác nền tảng bảo mật tài liệu Cobra DocGuard nhằm che giấu hoạt động đánh cắp dữ liệu.

Ngụy trang lưu lượng đánh cắp dữ liệu​

Khác với nhiều loại mã độc truyền thống, Speagle không sử dụng máy chủ điều khiển riêng biệt mà tận dụng chính máy chủ Cobra DocGuard đã bị xâm nhập để truyền dữ liệu. Điều này khiến hoạt động rò rỉ thông tin được ngụy trang thành các kết nối hợp pháp giữa người dùng và hệ thống.

Phần mềm Cobra DocGuard do EsafeNet phát triển, vốn được sử dụng để bảo mật và mã hóa tài liệu trong doanh nghiệp. Tuy nhiên, phần mềm này từng nhiều lần bị lợi dụng trong các cuộc tấn công chuỗi cung ứng trước đây.

Dấu hiệu của tấn công có chủ đích​

Điểm đáng chú ý là Speagle chỉ nhắm vào các hệ thống đã cài đặt Cobra DocGuard, cho thấy đây không phải là một chiến dịch phát tán diện rộng mà mang tính lựa chọn mục tiêu rõ ràng.

Hoạt động này đang được theo dõi với tên gọi “Runningcrab” và hiện chưa xác định được thủ phạm. Tuy nhiên, các chuyên gia cho rằng khả năng cao liên quan đến các nhóm tấn công có tổ chức, thậm chí có thể được nhà nước hậu thuẫn hoặc hoạt động theo dạng “đánh thuê”.

Thu thập dữ liệu và xóa dấu vết​

Sau khi xâm nhập, Speagle tiến hành thu thập thông tin theo nhiều giai đoạn. Mã độc kiểm tra sự tồn tại của Cobra DocGuard, sau đó thu thập dữ liệu hệ thống, thông tin người dùng và các tệp trong những thư mục quan trọng.

Đáng chú ý, mã độc có thể truy xuất dữ liệu từ trình duyệt như lịch sử truy cập và thông tin tự động điền. Một số biến thể còn có khả năng tìm kiếm các tài liệu nhạy cảm, bao gồm cả nội dung liên quan đến công nghệ quân sự.

Ngoài ra, Speagle còn sử dụng driver của Cobra DocGuard để tự xóa khỏi hệ thống sau khi hoàn tất hoạt động, gây khó khăn cho việc phát hiện và điều tra.

Nguy cơ từ tấn công chuỗi cung ứng​

Dù chưa xác định được cách thức lây nhiễm, các chuyên gia nhận định Speagle có thể được phát tán thông qua tấn công chuỗi cung ứng – hình thức tấn công ngày càng phổ biến khi tin tặc khai thác các phần mềm hợp pháp để xâm nhập hệ thống.

Trước đó, các sự cố liên quan đến Cobra DocGuard đã cho thấy nguy cơ từ việc cập nhật phần mềm bị cài cắm mã độc hoặc sử dụng phiên bản bị chỉnh sửa.

Thách thức đối với an ninh mạng​

Việc lợi dụng phần mềm bảo mật để thực hiện hành vi đánh cắp dữ liệu cho thấy mức độ tinh vi ngày càng cao của các mối đe dọa mạng.

Các chuyên gia cảnh báo doanh nghiệp cần tăng cường giám sát hệ thống, kiểm tra các kết nối bất thường và đảm bảo quy trình cập nhật phần mềm an toàn nhằm hạn chế rủi ro từ các cuộc tấn công tương tự.

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview