Programari maliciós de Voldemort
Els investigadors de ciberseguretat han identificat una nova campanya de programari maliciós que utilitza Google Sheets com a plataforma de comandament i control (C2).
Detectada per investigadors l'agost de 2024, la campanya d'atac es fa passar per autoritats fiscals d'Europa, Àsia i els Estats Units per apuntar a més de 70 organitzacions a tot el món. Els atacants utilitzen una eina personalitzada anomenada Voldemort, dissenyada per recopilar informació i desplegar programari maliciós addicional.
Els sectors objectiu inclouen assegurances, aeroespacial, transport, àmbit acadèmic, finances, tecnologia, industrial, sanitat, automoció, hostaleria, energia, govern, mitjans de comunicació, fabricació, telecomunicacions i organitzacions de benefici social. Tot i que la campanya de ciberespionatge no s'ha relacionat amb un actor d'amenaça específic, s'estima que s'han enviat fins a 20.000 correus electrònics en aquests atacs.
Taula de continguts
Vector de compromís inicial explotat pels atacants
Els correus electrònics descoberts pretenen ser d'autoritats fiscals dels Estats Units, el Regne Unit, França, Alemanya, Itàlia, l'Índia i el Japó, informant els destinataris de les actualitzacions de les seves declaracions d'impostos i els demanen que facin clic als URL de Google AMP Cache que els dirigeixen a un intermediari. pàgina de destinació.
Aquesta pàgina comprova la cadena User-Agent per determinar si el sistema operatiu de l'usuari és Windows. Si és així, la pàgina utilitza el gestor del protocol search-ms: URI per presentar un fitxer de drecera de Windows (LNK) disfressat com a PDF mitjançant Adobe Acrobat Reader en un intent d'enganyar la víctima perquè l'obri.
Si s'executa el fitxer LNK, activa PowerShell per executar Python.exe des d'una compartició WebDAV (\library), passant un script de Python situat en un altre recurs compartit (\recurs) al mateix servidor com a argument.
Com es desplega el programari maliciós Voldemort en sistemes compromesos
Aquest mètode permet a Python executar l'script sense desar cap fitxer a l'ordinador, amb dependències que es carreguen directament des de la compartició de WebDAV.
L'script Python està programat per recopilar informació del sistema i transmetre-la com a cadena codificada en Base64 a un domini controlat pels atacants. Després, mostra un PDF d'engany a l'usuari i baixa un fitxer ZIP protegit amb contrasenya d'OpenDrive.
L'arxiu ZIP conté dos fitxers: un executable legítim, "CiscoCollabHost.exe", que és vulnerable a la càrrega lateral de DLL, i un fitxer DLL maliciós, "CiscoSparkLauncher.dll" (conegut com a Voldemort), que és carregat lateralment per l'executable.
Capacitats de l'amenaça de programari maliciós de Voldemort
Voldemort és una porta posterior personalitzada escrita en C que inclou capacitats per recopilar informació i carregar càrregues útils de la següent etapa, amb el programari maliciós que utilitza Google Sheets per a C2, l'exfiltració de dades i l'execució d'ordres dels operadors.
Els investigadors van descriure l'activitat com a alineada amb les amenaces persistents avançades (APT), però amb trets de ciberdelinqüència a causa de l'ús de tècniques populars en el panorama de la delinqüència electrònica.
Els actors de l'amenaça abusen dels URI de l'esquema de fitxers per accedir a recursos externs de compartició de fitxers per a la posada en escena de programari maliciós, específicament WebDAV i Server Message Block (SMB). Això es fa utilitzant l'esquema 'file://' i apuntant a un servidor remot que allotja el contingut amenaçador.
Aquest enfocament ha estat cada cop més freqüent entre les famílies de programari maliciós que actuen com a intermediaris d'accés inicial (IAB), com ara Latrodectus , DarkGate i XWor m.
L'objectiu de l'atacant segueix sent desconegut
La campanya perjudicial s'ha considerat inusual, cosa que suggereix que els actors de l'amenaça poden haver-se dirigit inicialment a un ampli ventall de víctimes potencials abans de limitar el seu enfocament a un grup selecte. També és possible que els atacants, que semblen tenir diferents nivells d'experiència tècnica, tinguessin la intenció de comprometre múltiples organitzacions.
Tot i que molts aspectes de la campanya s'assemblen a les activitats típiques dels cibercriminals, creiem que és probable que sigui un esforç d'espionatge dirigit a assolir objectius encara desconeguts. La combinació de tàctiques avançades i intel·ligents de la campanya, combinada amb algunes tècniques bàsiques, complica l'avaluació de les capacitats de l'actor d'amenaça i fa que sigui difícil determinar els seus objectius finals amb molta confiança.
