1Campaign:网络犯罪平台助长恶意Google广告长期潜伏
安全研究人员发现名为1Campaign的网络犯罪即服务(CaaS)平台,帮助威胁行为者长期绕过检测投放恶意Google广告,传播信息窃取器、RAT和勒索软件。
网络犯罪平台1Campaign助长恶意Google广告长期潜伏
安全研究人员近期发现了一个名为1Campaign的新型网络犯罪即服务(Cybercrime-as-a-Service, CaaS)平台。该平台允许威胁行为者(threat actors)在Google广告网络上部署恶意广告(malvertising),并能够长期绕过安全团队和研究人员的检测。这一服务已被积极利用于传播恶意软件,同时保持隐蔽性。
主要发现
根据BleepingComputer发布的研究结果,1Campaign为威胁行为者提供了创建和管理Google广告网络上恶意广告活动的工具。这些广告通常伪装成合法的软件下载或更新,将用户重定向至托管恶意软件的受感染或攻击者控制的网站。该平台采用的规避技术使得恶意广告活动能够持续数周甚至数月而不被Google的安全机制标记。
技术细节
1Campaign采用了多种策略以避免被检测:
- 混淆(Obfuscation):恶意载荷(malicious payloads)经过高度混淆,以绕过自动扫描工具。
- 域名轮换(Domain Rotation):攻击者频繁更换域名,以防止被列入黑名单。
- 行为规避(Behavioral Evasion):该平台使用隐藏技术(cloaking techniques),向安全工具展示良性内容,同时向目标用户交付恶意载荷。
- 流量过滤(Traffic Filtering):识别并阻止来自安全研究人员或沙箱环境的请求,限制分析。
通过这些广告传播的恶意软件包括信息窃取器(information stealers)、远程访问木马(RATs)和勒索软件(ransomware),针对个人和组织机构。近期活动中观察到的知名恶意软件家族包括RedLine Stealer、Lumma Stealer和SectopRAT。
影响分析
恶意广告长期可见增加了成功感染的风险,尤其是对于搜索流行软件或工具的用户。组织机构面临的风险加剧,原因包括:
- 攻击面扩大:员工可能在无意中下载伪装成合法软件的恶意软件。
- 数据泄露:信息窃取器可窃取凭据、金融数据及其他敏感信息。
- 业务中断:勒索软件或RAT可能导致系统被入侵、数据被加密或遭受未经授权的访问。
安全团队建议
为降低1Campaign及类似威胁带来的风险,安全专业人员应采取以下措施:
- 加强广告监控:部署工具以检测并阻止恶意广告到达终端用户。
- 实施URL过滤:限制访问与这类活动相关的已知恶意或可疑域名。
- 用户培训:培训员工识别钓鱼和恶意广告(malvertising)策略,特别是涉及虚假软件下载的情况。
- 利用威胁情报:订阅跟踪恶意广告活动和新兴CaaS平台的威胁情报源。
- 最小权限原则:限制用户权限,以降低潜在感染的影响。
结论
1Campaign的出现凸显了网络犯罪服务的不断演进和复杂化,使得即使是低技能的威胁行为者也能发起有效的恶意广告活动。安全团队必须采取主动措施,在系统或数据受到威胁之前检测并中和此类威胁。