برنامج فولدمورت الخبيث
تمكن باحثو الأمن السيبراني من تحديد حملة برامج ضارة جديدة تستخدم Google Sheets كمنصة للقيادة والتحكم (C2).
تم اكتشاف هذه الحملة الهجومية من قبل الباحثين في أغسطس 2024، حيث كانت تتخفى في هيئة سلطات ضريبية من أوروبا وآسيا والولايات المتحدة لاستهداف أكثر من 70 منظمة حول العالم. يستخدم المهاجمون أداة مخصصة تسمى Voldemort، مصممة لجمع المعلومات ونشر برامج ضارة إضافية.
وتشمل القطاعات المستهدفة التأمين والفضاء والنقل والأوساط الأكاديمية والمالية والتكنولوجيا والصناعة والرعاية الصحية والسيارات والضيافة والطاقة والحكومة والإعلام والتصنيع والاتصالات ومنظمات المنفعة الاجتماعية. وعلى الرغم من أن حملة التجسس الإلكتروني لم ترتبط بجهة تهديد محددة، فمن المقدر أن ما يصل إلى 20 ألف رسالة بريد إلكتروني تم إرسالها في هذه الهجمات.
جدول المحتويات
استغلال المهاجمين لناقل الاختراق الأولي
تدعي رسائل البريد الإلكتروني المكتشفة أنها من سلطات الضرائب في الولايات المتحدة والمملكة المتحدة وفرنسا وألمانيا وإيطاليا والهند واليابان، لإعلام المستلمين بالتحديثات الخاصة بملفاتهم الضريبية وحثهم على النقر فوق عناوين URL لذاكرة التخزين المؤقت لـ Google AMP التي توجههم إلى صفحة وصول وسيطة.
تتحقق هذه الصفحة من سلسلة User-Agent لتحديد ما إذا كان نظام التشغيل الخاص بالمستخدم هو Windows. إذا كان الأمر كذلك، تستخدم الصفحة معالج بروتوكول URI:search-ms لتقديم ملف اختصار Windows (LNK) متنكرًا في هيئة ملف PDF باستخدام Adobe Acrobat Reader في محاولة لخداع الضحية لفتحه.
إذا تم تنفيذ ملف LNK، فسوف يؤدي ذلك إلى تشغيل PowerShell لتشغيل Python.exe من مشاركة WebDAV (\library)، وتمرير البرنامج النصي Python الموجود على مشاركة أخرى (\resource) على نفس الخادم كحجة.
كيف يتم نشر برنامج Voldemort الخبيث على الأنظمة المخترقة
تتيح هذه الطريقة لـ Python تنفيذ البرنامج النصي دون حفظ أي ملفات على الكمبيوتر، مع تحميل التبعيات مباشرة من مشاركة WebDAV.
تم برمجة البرنامج النصي Python لجمع معلومات النظام وإرسالها كسلسلة مشفرة بتنسيق Base64 إلى مجال يتحكم فيه المهاجمون. بعد ذلك، يعرض البرنامج النصي ملف PDF وهميًا للمستخدم ويقوم بتنزيل ملف ZIP محمي بكلمة مرور من OpenDrive.
يحتوي أرشيف ZIP على ملفين: ملف قابل للتنفيذ شرعي، "CiscoCollabHost.exe"، والذي يكون عرضة للتحميل الجانبي لـ DLL، وملف DLL ضار، "CiscoSparkLauncher.dll" (المعروف باسم Voldemort)، والذي يتم تحميله جانبيًا بواسطة الملف القابل للتنفيذ.
قدرات التهديد الخبيث الذي يسببه برنامج Voldemort
Voldemort هو برنامج خلفي مخصص مكتوب بلغة C ويأتي مع إمكانيات لجمع المعلومات وتحميل الحمولات في المرحلة التالية، مع استخدام البرامج الضارة لـ Google Sheets لـ C2، واستخراج البيانات وتنفيذ الأوامر من المشغلين.
ووصف الباحثون هذا النشاط بأنه مرتبط بالتهديدات المستمرة المتقدمة (APT) لكنه يحمل سمات الجريمة الإلكترونية بسبب استخدام تقنيات شائعة في مجال الجريمة الإلكترونية.
يستغل مرتكبو التهديدات عناوين URI لمخططات الملفات للوصول إلى موارد مشاركة الملفات الخارجية لإعداد البرامج الضارة، وخاصة WebDAV وServer Message Block (SMB). يتم ذلك باستخدام مخطط "file://" والإشارة إلى خادم بعيد يستضيف المحتوى المهدد.
لقد انتشر هذا النهج بشكل متزايد بين عائلات البرامج الضارة التي تعمل كوسطاء وصول أولي (IABs)، مثل Latrodectus و DarkGate و XWorm .
هدف المهاجم لا يزال مجهولا
وقد اعتُبرت الحملة الضارة غير عادية، مما يشير إلى أن الجهات الفاعلة في مجال التهديد ربما استهدفت في البداية مجموعة واسعة من الضحايا المحتملين قبل تضييق نطاق تركيزها على مجموعة مختارة. ومن المحتمل أيضًا أن المهاجمين، الذين يبدو أنهم يمتلكون مستويات متفاوتة من الخبرة الفنية، كانوا يعتزمون اختراق منظمات متعددة.
ورغم أن العديد من جوانب الحملة تشبه الأنشطة الإجرامية السيبرانية النموذجية، فإننا نعتقد أنها على الأرجح محاولة تجسس تهدف إلى تحقيق أهداف غير معروفة حتى الآن. ويؤدي مزيج الحملة من التكتيكات المتقدمة والذكية، جنبًا إلى جنب مع بعض التقنيات الأساسية، إلى تعقيد تقييم قدرات الجهة التي تشكل التهديد ويجعل من الصعب تحديد أهدافها النهائية بثقة عالية.
