[[250983]]

近日，網(wǎng)絡(luò)安全公司Fortinet的FortiGuard實驗室研究人員發(fā)現(xiàn)一場正在進行中的谷歌文檔(Google Docs)惡意活動。網(wǎng)絡(luò)犯罪分子利用某些知名網(wǎng)絡(luò)安全公司的名義，精心設(shè)計了巧妙的網(wǎng)絡(luò)釣魚誘餌，其攻擊目標為Windows、Android和MacOS平臺的用戶。

今年早些時候，研究人員就發(fā)現(xiàn)基于特定鏈接訪問策略的谷歌文檔可以被搜索機器人索引，前提是搜索機器人發(fā)現(xiàn)到這些鏈接。這最終導(dǎo)致許多組織的內(nèi)部文件公開。

惡意活動

據(jù)Fortinet的安全研究人員稱，在他們分析的168個包含全球組織敏感細節(jié)的谷歌搜索結(jié)果中，有150多個(超過90%!)是由網(wǎng)絡(luò)犯罪分子引起的。

“Fortinet的調(diào)查結(jié)果并非特例。我們了解到，如果搜索網(wǎng)絡(luò)安全市場中任何主要參與者的名字，我們會在無意中發(fā)現(xiàn)上百個或更多的惡意文件，”Fortinet研究人員在一份報告中說，“從那時起，我們才意識到谷歌文檔中已被插入無數(shù)的惡意文檔。”

惡意文件分析

研究人員發(fā)現(xiàn)，這些惡意文檔都是用英文或俄文寫成的。盡管存在語言差異，但這些文檔包含共同的結(jié)構(gòu)——有一個大標題，然后是一個小的隨機屏幕截圖，不一定與標題相關(guān)，最后是一個也用大字體寫的超鏈接。在下圖中，可以看到此類文檔的幾個示例：

這個惡意活動的另一個顯著特點是，樣本是動態(tài)編譯和簽名的。研究人員比較了樣本的PE內(nèi)的TimeStamp字段和下載的實際時間，兩者之間的差異不超過5分鐘。此外，每個樣本在下載時都使用相同的有效數(shù)字簽名進行簽名。

幕后攻擊者?

通過一些事實證據(jù)，研究人員發(fā)現(xiàn)了關(guān)于攻擊者的蛛絲馬跡：

1.惡意文檔中最常見的兩種語言是英語和俄語。仔細看惡意文檔，可以發(fā)現(xiàn)從第二行開始就是俄文了。

2.攻擊者濫用的 thimbleprojects[.]org項目名稱為dedzsumkoi，Dedzsumkoi對應(yīng)俄語單詞Дедссумкой;

3.攻擊者使用了VK.com的Logo，這是俄語國家中受歡迎的一款社交網(wǎng)絡(luò)平臺;

4.攻擊者使用的用戶代理是Medunja Solodunnja 6.0.0;

5.Medunja Solodunnja對應(yīng)俄語單詞Медуня-солодуня，這是烏克蘭利沃夫附近一家本地餅干制造商的名字。

研究人員得出的結(jié)論是，參與此次惡意活動的犯罪分子都精通俄語，他們可能很熟悉烏克蘭利沃夫附近的本地餅干制造商，這使研究人員有很大的可能性能夠發(fā)現(xiàn)其所在的位置。

當分析攻擊者使用域名的注冊數(shù)據(jù)時，可以發(fā)現(xiàn)幾乎所有域名注冊數(shù)據(jù)都受到WhoisGuard等服務(wù)的保護。4requests[.]org組織也不例外——目前它的所有注冊數(shù)據(jù)是隱藏不可見的。但當檢查該域名的whois歷史記錄時，研究人員發(fā)現(xiàn)它最初是在烏克蘭利沃夫注冊的...

研究人員無法驗證這里所提供的注冊數(shù)據(jù)是真是假，但這些數(shù)據(jù)與其它調(diào)查結(jié)果一致。研究人員檢查了用郵箱egonow999[@]gmail.com注冊的其它域名，總共有321個。大多數(shù)域名都是最近才注冊的，它們的名字看起來并不像會用于任何合法行動。

“我們分析了這個惡意網(wǎng)絡(luò)中使用的許多重定向鏈，還下載了幾個樣本，”研究人員說，“結(jié)論是，當前該網(wǎng)絡(luò)的目標是濫用其它應(yīng)用程序的合作項目。但是，這個目標隨時都可以改變。”