資安業者 Socket 近期揭露一起針對企業人力資源(HR)與企業資源規劃(ERP)平台的攻擊行動。攻擊者利用 5 款偽裝成生產力工具與安全強化工具的 Chrome 擴充套件,竊取企業用戶的身分驗證憑證,累計安裝次數超過 2,300 次。
這些惡意擴充套件
主要鎖定 Workday、NetSuite 與 SAP SuccessFactors 等企業級平台。雖然受影響用戶數量相對有限,但竊取的企業憑證可能成為大規模勒索軟體攻擊與資料竊取事件的跳板。
偽裝成企業生產力工具上架
Socket 研究人員 Kush Pandya 指出,
這些擴充套件在 Chrome Web Store 上架時,宣稱能提升生產力、簡化工作流程或強化安全控管,並主打能簡化「進階工具」的存取,專門針對使用 Workday、NetSuite 等平台的企業用戶進行推廣。
其中安裝次數最多的是 DataByCloud 2,達到 1,000 次安裝,宣稱提供儀表板與批次管理工具,方便管理多個企業帳號的使用者快速存取。另一款
Tool Access 11 則定位為安全強化外掛程式,聲稱能限制使用者存取敏感的管理功能,避免帳號遭到入侵。
這 5 款擴充套件分別為:DataByCloud Access(251 次安裝)、Tool Access 11(101 次安裝)、DataByCloud 1(1,000 次安裝)、DataByCloud 2(1,000 次安裝)與 Software Access(27 次安裝)。除了 Software Access 外,其餘 4 款均由 databycloud1104 發布;Software Access 則由不同發布者名稱發布。
然而,Socket 指出這些擴充套件的隱私權政策完全未揭露 Cookie 擷取、憑證竊取或阻擋安全管理頁面等行為,也未提及會收集使用者資料。
三種攻擊手法協同運作
Socket 的分析發現,這些擴充套件採用三種惡意行為模式:
竊取身分驗證 Cookie、
封鎖管理頁面,以及
透過 Cookie 注入進行工作階段劫持。
多款擴充套件會持續擷取名為「__session」的身分驗證 Cookie,這些 Cookie 包含 Workday、NetSuite 與 SuccessFactors 的有效登入權杖。攻擊者每 60 秒就會將權杖傳送到遠端的命令與控制(C2)伺服器,即使使用者登出後重新登入,仍能維持存取權限。
Tool Access 11 與 DataByCloud 2 會封鎖 Workday 內的安全與事件回應頁面。這些擴充套件透過偵測頁面標題,清除頁面內容或將管理員導向錯誤網址。Tool Access 11 鎖定 44 個管理頁面,包括身分驗證政策、安全代理伺服器設定、IP 範圍管理與工作階段控制介面。DataByCloud 2 則擴大範圍至 56 個頁面,新增密碼管理、帳號停用、雙因素驗證(2FA)裝置控制與安全稽核日誌等功能。
研究人員指出,封鎖這些頁面會導致管理員即使偵測到資安事件,也無法透過正常管道進行回應處理。
最危險功能:雙向 Cookie 操控
Software Access 擴充套件具備最危險的功能:
雙向 Cookie 操控機制。它不僅竊取 session token,還能接收來自攻擊者伺服器的被竊 Cookie,並直接注入到瀏覽器中。
Socket 指出,攻
擊者可透過 C2 伺服器設定身分驗證 Cookie,直接接管已驗證的工作階段。這種方式無需輸入使用者名稱、密碼或多因素驗證碼,就能立即取得目標企業平台的帳號控制權。
此外,這些擴充套件都內建相同的安全工具偵測清單,包含 23 款與安全相關的 Chrome 擴充套件,例如 EditThisCookie、Cookie-Editor、ModHeader、Redux DevTools 與 SessionBox 等。研究人員認為,這是用來偵測瀏覽器是否安裝了可能干擾 Cookie 竊取或揭露惡意行為的工具。
協同攻擊的證據
儘管這些擴充套件使用不同的發布者名稱,Socket 研究團隊仍根據相同的基礎架構、程式碼模式與攻擊目標,判斷這是一起協同攻擊行動。所有擴充套件皆針對相同的企業平台,且共享相同的安全工具偵測清單、API 端點模式與程式碼結構。
DataByCloud 1 與 DataByCloud 2 最早於 2021 年 8 月 18 日發布,顯示這起攻擊行動已持續多年。DataByCloud 1 除了竊取 Cookie,還使用開源的 DisableDevtool 函式庫,防止使用者透過瀏覽器開發者工具檢查程式碼。兩款擴充套件都會對 C2 通訊進行加密。
Socket 已向 Google 通報這些惡意擴充套件。截至本文發布時,除了 Software Access 外,其餘擴充套件均已從 Chrome Web Store 下架。然而,
這些套件仍可在 Softonic 等第三方軟體下載網站取得。
防護建議
曾經安裝這些擴充套件的使用者應立即採取以下措施:
- 立即從瀏覽器中移除這些擴充套件
- 向企業資安管理部門通報,以便進行完整的事件回應處理
- 變更所有受影響平台的密碼
- 檢視帳號登入記錄,確認是否有來自不明 IP 位址或裝置的未授權存取
- 檢查並重新設定雙因素驗證裝置
Socket 警告,
持續竊取憑證、
封鎖管理介面與
劫持工作階段的組合攻擊,會導致資安團隊即使偵測到未授權存取,也無法透過正常管道修復。企業應加強管控員工安裝瀏覽器擴充套件的行為,並定期檢視已安裝的擴充套件清單。
本文轉載自 BleepingComputer、TheHackerNews。