Voldemortův malware
Výzkumníci v oblasti kybernetické bezpečnosti identifikovali novou malwarovou kampaň, která používá Tabulky Google jako platformu Command-and-Control (C2).
Útočná kampaň, kterou výzkumníci odhalili v srpnu 2024, se maskuje jako daňové úřady z Evropy, Asie a USA a zaměřuje se na více než 70 organizací po celém světě. Útočníci používají vlastní nástroj nazvaný Voldemort, určený ke shromažďování informací a nasazování dalšího malwaru.
Mezi cílové sektory patří pojišťovnictví, letectví, doprava, akademická sféra, finance, technologie, průmysl, zdravotnictví, automobilový průmysl, pohostinství, energetika, státní správa, média, výroba, telekomunikace a sociální organizace. Přestože kampaň kybernetické špionáže nebyla spojena s konkrétním aktérem hrozby, odhaduje se, že v rámci těchto útoků bylo odesláno až 20 000 e-mailů.
Obsah
Počáteční kompromitní vektor využitý útočníky
Objevené e-maily údajně pocházejí od daňových úřadů v USA, Velké Británii, Francii, Německu, Itálii, Indii a Japonsku, které informují příjemce o aktualizacích jejich daňových přiznání a vybízejí je, aby klikli na adresy URL mezipaměti Google AMP, které je přesměrují na zprostředkovatele. vstupní stránka.
Tato stránka zkontroluje řetězec User-Agent, aby zjistil, zda je operačním systémem uživatele Windows. Pokud ano, stránka použije obslužný program protokolu search-ms: URI k předložení souboru zástupce systému Windows (LNK) maskovaného jako PDF pomocí Adobe Acrobat Reader ve snaze oklamat oběť, aby jej otevřela.
Pokud je soubor LNK spuštěn, spustí PowerShell, aby spustil Python.exe ze sdílené složky WebDAV (\library), přičemž jako argument předá skript Python umístěný na jiné sdílené složce (\resource) na stejném serveru.
Jak je malware Voldemort nasazen na kompromitovaných systémech
Tato metoda umožňuje Pythonu spustit skript bez ukládání jakýchkoli souborů do počítače, přičemž závislosti jsou načítány přímo ze sdílené složky WebDAV.
Skript Python je naprogramován tak, aby shromažďoval systémové informace a přenášel je jako řetězec zakódovaný v Base64 do domény kontrolované útočníky. Poté uživateli zobrazí návnadu PDF a stáhne z OpenDrive soubor ZIP chráněný heslem.
Archiv ZIP obsahuje dva soubory: legitimní spustitelný soubor 'CiscoCollabHost.exe', který je zranitelný vůči bočnímu načítání DLL, a škodlivý soubor DLL 'CiscoSparkLauncher.dll' (známý jako Voldemort), který je stahován spustitelným souborem.
Schopnosti malwarové hrozby Voldemort
Voldemort je vlastní zadní vrátka napsaná v C, která přichází s funkcemi pro shromažďování informací a načítání dat v další fázi, přičemž malware využívá Tabulky Google pro C2, exfiltraci dat a provádění příkazů od operátorů.
Výzkumníci popsali aktivitu jako spojenou s pokročilými perzistentními hrozbami (APT), ale nesoucí rysy kybernetické kriminality díky použití technik populárních v prostředí elektronické kriminality.
Aktéři hrozeb zneužívají identifikátory URI schématu souborů k přístupu k externím zdrojům pro sdílení souborů pro přípravu malwaru, konkrétně WebDAV a Server Message Block (SMB). To se provádí pomocí schématu 'file://' a odkazem na vzdálený server hostující ohrožující obsah.
Tento přístup stále více převládá mezi rodinami malwaru, které fungují jako zprostředkovatelé počátečního přístupu (IAB), jako jsou Latrodectus , DarkGate a XWor m.
Cíl útočníka zůstává neznámý
Škodlivá kampaň byla považována za neobvyklou, což naznačuje, že aktéři hrozeb se mohli zpočátku zaměřit na širokou škálu potenciálních obětí, než zúžili své zaměření na vybranou skupinu. Je také možné, že útočníci, kteří, jak se zdá, mají různé úrovně technických znalostí, zamýšleli kompromitovat několik organizací.
Ačkoli mnoho aspektů kampaně připomíná typické kyberzločinecké aktivity, věříme, že jde pravděpodobně o špionážní úsilí zaměřené na dosažení dosud neznámých cílů. Kombinace pokročilých a chytrých taktik kampaně v kombinaci s některými základními technikami komplikuje hodnocení schopností aktéra hrozby a činí stanovení jeho konečných cílů s vysokou jistotou náročné.
