一群可能位于越南的攻擊者專門針對可能訪問 Facebook 業務和廣告管理帳戶的員工，在幾個月前首次曝光后，他們重新出現并改變了其基礎設施、惡意軟件和作案手法。

該組織被WithSecure的研究人員稱為 DUCKTAIL，該組織使用魚叉式網絡釣魚來針對 LinkedIn 上的個人，從這些個人的職位描述來看可能他們有權管理 Facebook 企業帳戶。最近，還觀察到攻擊者通過 WhatsApp 瞄準受害者。受感染的 Facebook 商業帳戶用于在平臺上投放廣告，以獲取攻擊者的經濟利益。

DUCKTAIL 攻擊者進行研究

帳戶濫用是通過惡意軟件程序使用受害者的瀏覽器實現的，該惡意軟件程序偽裝成與品牌、產品和項目規劃相關的文檔。攻擊者首先建立一個在 Facebook 上有業務頁面的公司列表。然后，他們在 LinkedIn 和其他來源上搜索為這些公司工作并擁有可以讓他們訪問這些業務頁面的職位的員工。這些包括管理、數字營銷、數字媒體和人力資源角色。

最后一步是向他們發送一個鏈接，其中包含一個偽裝成 .pdf 的惡意軟件的存檔，以及看似屬于同一項目的圖像和視頻。研究人員看到的一些文件名包括項目“發展計劃”、“項目信息”、“產品”和“新項目預算業務計劃”。

DUCKTAIL 組織自 2021 年下半年以來一直在開展這項活動。在今年 8 月WithSecure 曝光他們的行動后，該行動停止了，攻擊者重新設計了他們的一些工具集。

攻擊者改用 GlobalSign 作為證書頒發機構

今年早些時候分析的惡意軟件樣本使用以一家越南公司的名義從 Sectigo 獲得的合法代碼簽名證書進行了數字簽名。由于該證書已被報告和撤銷，攻擊者已切換到 GlobalSign 作為他們的證書頒發機構。在他們繼續以原公司的名義向多個 CA 申請證書的同時，他們還建立了其他六家企業，全部使用越南語，其中三個獲得了代碼簽名證書。

2021 年底出現的 DUCKTAIL 惡意軟件樣本是用 .NET Core 編寫的，并使用框架的單文件功能編譯，該功能將所有必需的庫和文件捆綁到一個可執行文件中，包括主程序集。這確保惡意軟件可以在任何 Windows 計算機上執行，無論它是否安裝了 .NET 運行時。自 2022 年 8 月活動停止以來，WithSecure 研究人員觀察到從越南上傳到 VirusTotal 的多個開發 DUCKTAIL 樣本。

其中一個示例是使用 .NET 7 的 NativeAOT 編譯的，它提供與 .NET Core 的單文件功能類似的功能，允許二進制文件提前本地編譯。然而，NativeAOT 對第三方庫的支持有限，因此攻擊者轉而使用 .NET Core。

壞演員一直在試驗

其他實驗也被觀察到，例如包含來自 GitHub 項目的反分析代碼，但從未真正打開過，從命令和控制服務器發送電子郵件地址列表作為 .txt 文件的能力在惡意軟件中對它們進行硬編碼，并在執行惡意軟件時啟動一個虛擬文件，以減少用戶的懷疑——觀察到文檔 (.docx)、電子表格 (.xlsx) 和視頻 (.mp4) 虛擬文件。

攻擊者還在測試多級加載程序以部署惡意軟件，例如 Excel 加載項文件 (.xll)，它從加密的 blob 中提取二級加載程序，然后最終下載信息竊取程序惡意軟件。研究人員還確定了一個用 .NET 編寫的下載程序，他們高度信任 DUCKTAIL，它執行 PowerShell 命令，從 Discord 下載信息竊取程序。

infostealer 惡意軟件使用電報頻道進行命令和控制。自從 8 月被曝光以來，攻擊者更好地鎖定了這些頻道，一些頻道現在有多個管理員，這可能表明他們正在運行類似于勒索軟件團伙的附屬程序。研究人員說：“聊天活動的增加和新的文件加密機制可確保只有特定用戶能夠解密某些泄露的文件，這進一步加強了這一點。”

瀏覽器劫持

部署后，DUCKTAIL 惡意軟件會掃描系統上安裝的瀏覽器及其 cookie 存儲路徑。然后它會竊取所有存儲的 cookie，包括存儲在其中的任何 Facebook 會話 cookie。會話 cookie 是網站在身份驗證成功完成后在瀏覽器中設置的一個小標識符，用于記住用戶已經登錄了一段時間。

該惡意軟件使用 Facebook 會話 cookie 直接與 Facebook 頁面交互，或向 Facebook Graph API 發送請求以獲取信息。此信息包括個人帳戶的姓名、電子郵件、生日和用戶 ID；個人帳戶可以訪問的 Facebook 業務頁面的名稱、驗證狀態、廣告限制、名稱、ID、賬戶狀態、廣告支付周期、貨幣、adtrust DSL 以及任何相關 Facebook 廣告賬戶的花費金額。

該惡意軟件還會檢查是否為被劫持的帳戶啟用了雙因素身份驗證，并在啟用時使用活動會話獲取 2FA 的備份代碼。“從受害者機器竊取的信息還允許威脅行為者從受害者機器外部嘗試這些活動（以及其他惡意活動）。研究人員說：“竊取的會話 cookie、訪問令牌、2FA 代碼、用戶代理、IP 地址和地理位置等信息，以及一般帳戶信息（如姓名和生日）可用于隱藏和冒充受害者。”

該惡意軟件旨在嘗試將攻擊者控制的電子郵件地址添加到被劫持的 Facebook 企業帳戶中，這些帳戶可能具有較高的身份：管理員和財務編輯。根據 Facebook 所有者 Meta 的文檔，管理員可以完全控制帳戶，而財務編輯可以控制存儲在帳戶中的信用卡信息以及帳戶上的交易、發票和支出。他們還可以將外部業務添加到存儲的信用卡和月度發票中，從而使這些業務可以使用相同的付款方式。

冒充合法客戶經理身份

在目標受害者沒有足夠的訪問權限以允許惡意軟件將攻擊者的電子郵件地址添加到預期的企業帳戶的情況下，攻擊者依靠從受害者的機器和 Facebook 帳戶中泄露的信息來冒充他們。

在 WithSecure 事件響應人員調查的一個案例中，受害者使用的是 Apple 機器，并且從未從 Windows 計算機登錄過 Facebook。系統上未發現惡意軟件，無法確定初始訪問向量。目前尚不清楚這是否與 DUCKTAIL 有關，但研究人員確定襲擊者也來自越南。

建議 Facebook Business 管理員定期審查在 Business Manager > Settings > People 下添加的用戶，并撤銷對任何授予管理員訪問權限或財務編輯角色的未知用戶的訪問權限。

在我們的調查中，WithSecure 事件響應團隊發現業務歷史日志和目標個人的 Facebook 數據與事件分析相關。“然而，對于與個人 Facebook 帳戶相關的日志，門戶網站上可見的內容與下載數據副本時獲得的內容之間存在廣泛的不一致。作為對其他調查人員的建議，WithSecure 事件響應團隊強烈建議盡快捕獲業務歷史日志的本地副本，并為其帳戶請求用戶數據的副本。

參考來源：https://www.csoonline.com/article/3681108/ducktail-malware-campaign-targeting-facebook-business-and-ads-accounts-is-back.html