Волдемор злонамерен софтуер
Изследователите на киберсигурността идентифицираха нова кампания за злонамерен софтуер, която използва Google Sheets като платформа за командване и контрол (C2).
Открита от изследователи през август 2024 г., кампанията за атака се маскира като данъчни власти от Европа, Азия и САЩ, за да се насочи към повече от 70 организации по целия свят. Нападателите използват персонализиран инструмент, наречен Voldemort, предназначен да събира информация и да внедрява допълнителен зловреден софтуер.
Целевите сектори включват застраховане, космическа индустрия, транспорт, академични среди, финанси, технологии, промишленост, здравеопазване, автомобилостроене, хотелиерство, енергетика, правителство, медии, производство, телекомуникации и организации за социални помощи. Въпреки че кампанията за кибершпионаж не е свързана с конкретна заплаха, се изчислява, че до 20 000 имейла са били изпратени при тези атаки.
Съдържание
Първоначален компрометен вектор, използван от нападатели
Откритите имейли претендират да са от данъчните власти в САЩ, Обединеното кралство, Франция, Германия, Италия, Индия и Япония, като информират получателите за актуализации на техните данъчни декларации и ги подканват да кликнат върху URL адресите на Google AMP Cache, които ги насочват към посредник целева страница.
Тази страница проверява низа на User-Agent, за да определи дали операционната система на потребителя е Windows. Ако е така, страницата използва манипулатора на протокола search-ms: URI, за да представи файл с пряк път на Windows (LNK), маскиран като PDF с помощта на Adobe Acrobat Reader, в опит да подмами жертвата да го отвори.
Ако LNK файлът се изпълни, той задейства PowerShell да изпълни Python.exe от WebDAV споделяне (\library), като предава Python скрипт, разположен на друг дял (\resource) на същия сървър като аргумент.
Как зловредният софтуер Voldemort се внедрява на компрометирани системи
Този метод позволява на Python да изпълни скрипта, без да записва никакви файлове на компютъра, като зависимостите се зареждат директно от споделянето на WebDAV.
Скриптът на Python е програмиран да събира системна информация и да я предава като кодиран с Base64 низ към домейн, контролиран от нападателите. След това показва примамлив PDF на потребителя и изтегля защитен с парола ZIP файл от OpenDrive.
ZIP архивът съдържа два файла: легитимен изпълним файл, „CiscoCollabHost.exe“, който е уязвим към странично зареждане на DLL, и злонамерен DLL файл, „CiscoSparkLauncher.dll“ (известен като Voldemort), който се зарежда странично от изпълнимия файл.
Възможности на заплахата от зловреден софтуер Voldemort
Voldemort е персонализирана задна вратичка, написана на C, която идва с възможности за събиране на информация и зареждане на полезни товари от следващ етап, като злонамереният софтуер използва Google Sheets за C2, ексфилтриране на данни и изпълнение на команди от операторите.
Изследователите описаха дейността като съобразена с Advanced Persistent Threats (APT), но носеща черти на киберпрестъпността поради използването на техники, популярни в пейзажа на електронните престъпления.
Актьорите на заплахи злоупотребяват с URI адреси на файлова схема за достъп до външни ресурси за споделяне на файлове за поставяне на злонамерен софтуер, по-специално WebDAV и сървърни съобщения (SMB). Това става чрез използване на схемата „file://“ и насочване към отдалечен сървър, хостващ заплашителното съдържание.
Този подход е все по-разпространен сред семействата на зловреден софтуер, които действат като брокери за първоначален достъп (IAB), като Latrodectus , DarkGate и XWorm .
Целта на нападателя остава неизвестна
Вредната кампания се смята за необичайна, което предполага, че участниците в заплахата може първоначално да са се насочили към широк кръг от потенциални жертви, преди да стеснят фокуса си до избрана група. Възможно е също нападателите, които изглежда притежават различни нива на технически опит, да са възнамерявали да компрометират множество организации.
Въпреки че много аспекти на кампанията наподобяват типични киберпрестъпни дейности, ние вярваме, че това е вероятно шпионаж, насочен към постигане на все още неизвестни цели. Комбинацията от усъвършенствани и интелигентни тактики на кампанията, съчетани с някои основни техники, усложнява оценката на способностите на заплахата и прави предизвикателство да се определят крайните им цели с голяма увереност.
