[[250983]]

近日，網絡安全公司Fortinet的FortiGuard實驗室研究人員發現一場正在進行中的谷歌文檔(Google Docs)惡意活動。網絡犯罪分子利用某些知名網絡安全公司的名義，精心設計了巧妙的網絡釣魚誘餌，其攻擊目標為Windows、Android和MacOS平臺的用戶。

今年早些時候，研究人員就發現基于特定鏈接訪問策略的谷歌文檔可以被搜索機器人索引，前提是搜索機器人發現到這些鏈接。這最終導致許多組織的內部文件公開。

惡意活動

據Fortinet的安全研究人員稱，在他們分析的168個包含全球組織敏感細節的谷歌搜索結果中，有150多個(超過90%!)是由網絡犯罪分子引起的。

“Fortinet的調查結果并非特例。我們了解到，如果搜索網絡安全市場中任何主要參與者的名字，我們會在無意中發現上百個或更多的惡意文件，”Fortinet研究人員在一份報告中說，“從那時起，我們才意識到谷歌文檔中已被插入無數的惡意文檔。”

惡意文件分析

研究人員發現，這些惡意文檔都是用英文或俄文寫成的。盡管存在語言差異，但這些文檔包含共同的結構——有一個大標題，然后是一個小的隨機屏幕截圖，不一定與標題相關，最后是一個也用大字體寫的超鏈接。在下圖中，可以看到此類文檔的幾個示例：

這個惡意活動的另一個顯著特點是，樣本是動態編譯和簽名的。研究人員比較了樣本的PE內的TimeStamp字段和下載的實際時間，兩者之間的差異不超過5分鐘。此外，每個樣本在下載時都使用相同的有效數字簽名進行簽名。

幕后攻擊者?

通過一些事實證據，研究人員發現了關于攻擊者的蛛絲馬跡：

1.惡意文檔中最常見的兩種語言是英語和俄語。仔細看惡意文檔，可以發現從第二行開始就是俄文了。

2.攻擊者濫用的 thimbleprojects[.]org項目名稱為dedzsumkoi，Dedzsumkoi對應俄語單詞Дедссумкой;

3.攻擊者使用了VK.com的Logo，這是俄語國家中受歡迎的一款社交網絡平臺;

4.攻擊者使用的用戶代理是Medunja Solodunnja 6.0.0;

5.Medunja Solodunnja對應俄語單詞Медуня-солодуня，這是烏克蘭利沃夫附近一家本地餅干制造商的名字。

研究人員得出的結論是，參與此次惡意活動的犯罪分子都精通俄語，他們可能很熟悉烏克蘭利沃夫附近的本地餅干制造商，這使研究人員有很大的可能性能夠發現其所在的位置。

當分析攻擊者使用域名的注冊數據時，可以發現幾乎所有域名注冊數據都受到WhoisGuard等服務的保護。4requests[.]org組織也不例外——目前它的所有注冊數據是隱藏不可見的。但當檢查該域名的whois歷史記錄時，研究人員發現它最初是在烏克蘭利沃夫注冊的...

研究人員無法驗證這里所提供的注冊數據是真是假，但這些數據與其它調查結果一致。研究人員檢查了用郵箱egonow999[@]gmail.com注冊的其它域名，總共有321個。大多數域名都是最近才注冊的，它們的名字看起來并不像會用于任何合法行動。

“我們分析了這個惡意網絡中使用的許多重定向鏈，還下載了幾個樣本，”研究人員說，“結論是，當前該網絡的目標是濫用其它應用程序的合作項目。但是，這個目標隨時都可以改變。”