越南黑客通過惡意廣告鎖定臉書企業(yè)賬號，傳播Ducktail發(fā)動攻擊

安全企業(yè)Zscaler、WithSecure針對越南黑客發(fā)動的惡意軟件DuckTail攻擊提出警告，這些黑客主要通過職場社交媒體網(wǎng)站LinkedIn進行社交工程攻擊，假借提供職缺引誘用戶上當(dāng)，最終目的是竊取企業(yè)組織的臉書賬號，但也有抖音和Google的企業(yè)賬號遭劫持的情況。

研究人員先是在LinkedIn看到黑客假冒人力資源部門的員工，征求營銷職缺，一旦有人上鉤，黑客就會要求他們下載指定的文件，并使用Windows計算機打開，但實際上求職者打開的是偽裝成文件的可執(zhí)行文件。由于從2022年迄今出現(xiàn)許多裁員的情況，使得攻擊者針對的目標(biāo)范圍人數(shù)變得更加廣泛。

為了回避偵測，黑客不只使用Telegram架設(shè)C2，也濫用云計算服務(wù)Trello、Discord、Dropbox、iCloud、OneDrive、MediaFire托管惡意程序，而在訪問受害組織的社交媒體網(wǎng)站賬號時，也會通過代理服務(wù)器服務(wù)訪問，此外，攻擊者還會濫用加密通知（Encrypted notifications）來防止受害組織取回賬號。

Zscaler指出，過程中黑客通過Google翻譯，以英文與求職者交談。在其中一起攻擊行動里，他們假冒食品公司億滋國際（Mondelez International），并提供此公司的維基百科與臉書粉絲頁的URL，但要求求職者從iCloud下載惡意文件。另一個攻擊渠道，則是假借提供AI生成式工具ChatGPT、Google Bard，市場營銷工具Adplexity、ClickMinded的名義，來傳播DuckTail。

究竟黑客如何制作相關(guān)的攻擊工具？研究人員指出，這些黑客通過ChatGPT、Google Bard等大型語言機器學(xué)習(xí)模型（LLM），來產(chǎn)生這些網(wǎng)頁、釣魚信。

一旦求職者不慎依照指示打開黑客提供的“文件”，計算機就有可能被植入Ducktail。這款惡意程序由.NET打造而成，通常是含有Office文件或是PDF文件圖標(biāo)的可執(zhí)行文件，但有些惡意酬載黑客打造成Excel的擴展組件（XLL），或是瀏覽器擴展組件的形式來發(fā)動攻擊。一般而言，黑客會通過內(nèi)置征才或是營銷廣告的誘餌文件文件來傳播Ducktail，此惡意軟件文件很大，大小往往有70 MB左右，并通過Telegram連接至C2，部分文件甚至含有越南憑證供應(yīng)商的簽章。

在計算機被植入上述惡意程序之后，攻擊者就有可能將自己的電子郵件信箱加入受害組織的臉書管理成員、篡改臉書賬號的密碼或電子郵件信箱、盜取LinkedIn賬號進一步用于攻擊行動，或是將帳密數(shù)據(jù)流入越南地退市場，以35萬至800萬越南盾（相當(dāng)于15至340美元）兜售。

另一家安全企業(yè)WithSecure也披露相關(guān)發(fā)現(xiàn)，他們發(fā)現(xiàn)這起攻擊行動背后可能有多個黑客組織參與，這些黑客通過多種程序語言打造作案工具，例如：以JavaScript打造惡意瀏覽器擴展組件、Node.js為基礎(chǔ)的可執(zhí)行程序（包含Eletron應(yīng)用程序），或是使用Python、.NET打造惡意程序的可執(zhí)行文件。而且，黑客尋找攻擊目標(biāo)的范圍相當(dāng)廣，除了前述提到的臉書廣告、LinkedIn征才消息，這些黑客也鎖定自由職業(yè)者的接案網(wǎng)站Upwork、Freelancer下手，或是通過即時通信軟件WhatsApp、垃圾郵件來引誘用戶上當(dāng)。

再者，黑客引誘用戶上鉤的誘餌種類也相當(dāng)多樣，包含了前述提及的數(shù)字營銷與征才，還有時下熱門的話題，如ChatGPT、Google Bard、Meta Threads，或是假借提供知名應(yīng)用程序、網(wǎng)站廣告相關(guān)工具等。

研究人員指出，Ducktail約從一年前出沒，但相關(guān)攻擊在今年初開始出現(xiàn)顯著增加的現(xiàn)象。

而對于Ducktail感染受害計算機的過程，研究人員看到黑客納入了多階段的執(zhí)行鏈，其中一種手法是通過壓縮文件傳播LNK文件，一旦觸發(fā)就有可能執(zhí)行PowerShell腳本文件，然后從C2下載、執(zhí)行Ducktail和誘餌文件文件。而為了能夠成功竊取瀏覽器的數(shù)據(jù)，攻擊者自今年7月，利用名為RestartManager的程序來終止特定的處理程序，使得攻擊流程能順利進行。

到了今年3月，黑客也從Ducktail發(fā)展出新變種Duckport，對受害組織帶來更大的危害。與Ducktail相同的是，Duckport同樣主要是鎖定操作Meta企業(yè)平臺的人士，兩者的戰(zhàn)術(shù)、技巧、程序（TTP）有所交集，但程序代碼的寫作風(fēng)格不同，背后的黑客成員沒有交集，用于C2的Telegram頻道、程序代碼簽章也不同。

再者，Duckport會在受害計算機竊取更多數(shù)據(jù)，并在成功劫持企業(yè)的臉書賬號后，自動發(fā)布含有特定關(guān)鍵字的廣告，或是接收攻擊者的指令，自動產(chǎn)生及發(fā)布欺詐廣告，并關(guān)閉各式通知消息讓受害組織不易發(fā)現(xiàn)。