Malware-ul Speagle deturnează Cobra DocGuard pentru a fura date prin servere compromise

Cercetătorii în securitate cibernetică au identificat un nou malware, supranumit Speagle, care deturnează funcționalitatea și infrastructura unui program legitim numit Cobra DocGuard.

„Speagle este conceput pentru a colecta pe ascuns informații sensibile de pe computerele infectate și pentru a le transmite către un server Cobra DocGuard compromis de atacatori, mascând procesul de data exfiltration drept comunicații legitime între client și server”, au declarat cercetătorii de la Symantec și Carbon Black într-un raport publicat astăzi.

Cobra DocGuard este o platformă de document security și criptare dezvoltată de EsafeNet. Abuzul acestui software în atacuri reale a fost înregistrat public de două ori până în prezent. În ianuarie 2023, ESET a documentat o intruziune unde o companie de gambling din Hong Kong a fost compromisă în septembrie 2022 prin intermediul unui malicious update livrat de software.

Ulterior, în august, Symantec a evidențiat activitatea unui nou threat cluster codificat Carderbee, care folosea o versiune trojanized a programului pentru a lansa PlugX, un backdoor utilizat pe scară largă de grupările de hacking chineze, precum Mustang Panda. Atacurile au vizat mai multe organizații din Hong Kong și alte țări asiatice.

Speagle rămâne neatribuit până la această dată. Ceea ce face ca acest malware să fie notabil este faptul că este conceput să colecteze și să exfiltreze date doar de pe sistemele care au instalat software-ul de protecție Cobra DocGuard. Activitatea este monitorizată sub numele de Runningcrab.

„Acest lucru indică un deliberate targeting, posibil pentru a facilita colectarea de informații sau spionajul industrial”, au precizat echipele de threat hunting deținute de Broadcom. „În prezent, credem că cele mai probabile ipoteze sunt că este fie opera unui state-sponsored actor, fie a unui contractor privat disponibil pentru închiriere.”

Modul exact în care malware-ul este livrat victimelor este necunoscut, deși se suspectează un supply chain attack, având în vedere cele două cazuri menționate anterior.

În plus, rolul central jucat de software-ul de securitate și infrastructura sa merită menționat. Nu numai că Speagle folosește un server legitim Cobra DocGuard pentru command-and-control (C2) și ca punct de exfiltration, dar invocă și un driver asociat programului pentru a se șterge singur de pe gazda compromisă.

Executabilul .NET pe 32 de biți, odată lansat, verifică mai întâi folderul de instalare al Cobra DocGuard și apoi începe colectarea și transmiterea datelor de pe mașina infectată în faze. Acestea includ detalii despre sistem și fișiere aflate în foldere specifice, cum ar fi cele care conțin browser history și date de autofill.

Mai mult, o variantă de Speagle a fost descoperită având funcționalități suplimentare pentru a activa/dezactiva anumite tipuri de colectare de date, precum și pentru a căuta fișiere legate de rachetele balistice chinezești, cum ar fi Dongfeng-27 (alias DF-27).

„Speagle este o amenințare inedită, de tip parazit, care utilizează inteligent clientul Cobra DocGuard pentru a-și masca activitatea malițioasă și infrastructura acestuia pentru a ascunde traficul de exfiltrare”, au concluzionat cercetătorii.

Sursă: https://thehackernews.com/2026/03/speagle-malware-hijacks-cobra-docguard.html