越南黑客通過(guò)惡意廣告鎖定臉書(shū)企業(yè)賬號(hào)，傳播Ducktail發(fā)動(dòng)攻擊

安全企業(yè)Zscaler、WithSecure針對(duì)越南黑客發(fā)動(dòng)的惡意軟件DuckTail攻擊提出警告，這些黑客主要通過(guò)職場(chǎng)社交媒體網(wǎng)站LinkedIn進(jìn)行社交工程攻擊，假借提供職缺引誘用戶(hù)上當(dāng)，最終目的是竊取企業(yè)組織的臉書(shū)賬號(hào)，但也有抖音和Google的企業(yè)賬號(hào)遭劫持的情況。

研究人員先是在LinkedIn看到黑客假冒人力資源部門(mén)的員工，征求營(yíng)銷(xiāo)職缺，一旦有人上鉤，黑客就會(huì)要求他們下載指定的文件，并使用Windows計(jì)算機(jī)打開(kāi)，但實(shí)際上求職者打開(kāi)的是偽裝成文件的可執(zhí)行文件。由于從2022年迄今出現(xiàn)許多裁員的情況，使得攻擊者針對(duì)的目標(biāo)范圍人數(shù)變得更加廣泛。

為了回避偵測(cè)，黑客不只使用Telegram架設(shè)C2，也濫用云計(jì)算服務(wù)Trello、Discord、Dropbox、iCloud、OneDrive、MediaFire托管惡意程序，而在訪(fǎng)問(wèn)受害組織的社交媒體網(wǎng)站賬號(hào)時(shí)，也會(huì)通過(guò)代理服務(wù)器服務(wù)訪(fǎng)問(wèn)，此外，攻擊者還會(huì)濫用加密通知（Encrypted notifications）來(lái)防止受害組織取回賬號(hào)。

Zscaler指出，過(guò)程中黑客通過(guò)Google翻譯，以英文與求職者交談。在其中一起攻擊行動(dòng)里，他們假冒食品公司億滋國(guó)際（Mondelez International），并提供此公司的維基百科與臉書(shū)粉絲頁(yè)的URL，但要求求職者從iCloud下載惡意文件。另一個(gè)攻擊渠道，則是假借提供AI生成式工具ChatGPT、Google Bard，市場(chǎng)營(yíng)銷(xiāo)工具Adplexity、ClickMinded的名義，來(lái)傳播DuckTail。

究竟黑客如何制作相關(guān)的攻擊工具？研究人員指出，這些黑客通過(guò)ChatGPT、Google Bard等大型語(yǔ)言機(jī)器學(xué)習(xí)模型（LLM），來(lái)產(chǎn)生這些網(wǎng)頁(yè)、釣魚(yú)信。

一旦求職者不慎依照指示打開(kāi)黑客提供的“文件”，計(jì)算機(jī)就有可能被植入Ducktail。這款?lèi)阂獬绦蛴?NET打造而成，通常是含有Office文件或是PDF文件圖標(biāo)的可執(zhí)行文件，但有些惡意酬載黑客打造成Excel的擴(kuò)展組件（XLL），或是瀏覽器擴(kuò)展組件的形式來(lái)發(fā)動(dòng)攻擊。一般而言，黑客會(huì)通過(guò)內(nèi)置征才或是營(yíng)銷(xiāo)廣告的誘餌文件文件來(lái)傳播Ducktail，此惡意軟件文件很大，大小往往有70 MB左右，并通過(guò)Telegram連接至C2，部分文件甚至含有越南憑證供應(yīng)商的簽章。

在計(jì)算機(jī)被植入上述惡意程序之后，攻擊者就有可能將自己的電子郵件信箱加入受害組織的臉書(shū)管理成員、篡改臉書(shū)賬號(hào)的密碼或電子郵件信箱、盜取LinkedIn賬號(hào)進(jìn)一步用于攻擊行動(dòng)，或是將帳密數(shù)據(jù)流入越南地退市場(chǎng)，以35萬(wàn)至800萬(wàn)越南盾（相當(dāng)于15至340美元）兜售。

另一家安全企業(yè)WithSecure也披露相關(guān)發(fā)現(xiàn)，他們發(fā)現(xiàn)這起攻擊行動(dòng)背后可能有多個(gè)黑客組織參與，這些黑客通過(guò)多種程序語(yǔ)言打造作案工具，例如：以JavaScript打造惡意瀏覽器擴(kuò)展組件、Node.js為基礎(chǔ)的可執(zhí)行程序（包含Eletron應(yīng)用程序），或是使用Python、.NET打造惡意程序的可執(zhí)行文件。而且，黑客尋找攻擊目標(biāo)的范圍相當(dāng)廣，除了前述提到的臉書(shū)廣告、LinkedIn征才消息，這些黑客也鎖定自由職業(yè)者的接案網(wǎng)站Upwork、Freelancer下手，或是通過(guò)即時(shí)通信軟件WhatsApp、垃圾郵件來(lái)引誘用戶(hù)上當(dāng)。

再者，黑客引誘用戶(hù)上鉤的誘餌種類(lèi)也相當(dāng)多樣，包含了前述提及的數(shù)字營(yíng)銷(xiāo)與征才，還有時(shí)下熱門(mén)的話(huà)題，如ChatGPT、Google Bard、Meta Threads，或是假借提供知名應(yīng)用程序、網(wǎng)站廣告相關(guān)工具等。

研究人員指出，Ducktail約從一年前出沒(méi)，但相關(guān)攻擊在今年初開(kāi)始出現(xiàn)顯著增加的現(xiàn)象。

而對(duì)于Ducktail感染受害計(jì)算機(jī)的過(guò)程，研究人員看到黑客納入了多階段的執(zhí)行鏈，其中一種手法是通過(guò)壓縮文件傳播LNK文件，一旦觸發(fā)就有可能執(zhí)行PowerShell腳本文件，然后從C2下載、執(zhí)行Ducktail和誘餌文件文件。而為了能夠成功竊取瀏覽器的數(shù)據(jù)，攻擊者自今年7月，利用名為RestartManager的程序來(lái)終止特定的處理程序，使得攻擊流程能順利進(jìn)行。

到了今年3月，黑客也從Ducktail發(fā)展出新變種Duckport，對(duì)受害組織帶來(lái)更大的危害。與Ducktail相同的是，Duckport同樣主要是鎖定操作Meta企業(yè)平臺(tái)的人士，兩者的戰(zhàn)術(shù)、技巧、程序（TTP）有所交集，但程序代碼的寫(xiě)作風(fēng)格不同，背后的黑客成員沒(méi)有交集，用于C2的Telegram頻道、程序代碼簽章也不同。

再者，Duckport會(huì)在受害計(jì)算機(jī)竊取更多數(shù)據(jù)，并在成功劫持企業(yè)的臉書(shū)賬號(hào)后，自動(dòng)發(fā)布含有特定關(guān)鍵字的廣告，或是接收攻擊者的指令，自動(dòng)產(chǎn)生及發(fā)布欺詐廣告，并關(guān)閉各式通知消息讓受害組織不易發(fā)現(xiàn)。