Voldemort Malware
Cybersikkerhedsforskere har identificeret en ny malware-kampagne, der bruger Google Sheets som en Command-and-Control-platform (C2).
Angrebskampagnen, som blev opdaget af forskere i august 2024, forklæder sig som skattemyndigheder fra Europa, Asien og USA for at målrette mod mere end 70 organisationer verden over. Angriberne bruger et brugerdefineret værktøj kaldet Voldemort, designet til at indsamle oplysninger og implementere yderligere malware.
De målrettede sektorer omfatter forsikring, rumfart, transport, den akademiske verden, finans, teknologi, industri, sundhedspleje, bilindustrien, gæstfrihed, energi, regering, medier, fremstilling, telekommunikation og sociale ydelser. Selvom cyberspionagekampagnen ikke har været knyttet til en specifik trusselsaktør, anslås det, at der er blevet sendt op mod 20.000 e-mails i disse angreb.
Indholdsfortegnelse
Indledende kompromisvektor udnyttet af angribere
De opdagede e-mails foregiver at være fra skattemyndigheder i USA, Storbritannien, Frankrig, Tyskland, Italien, Indien og Japan, der informerer modtagere om opdateringer af deres skatteansøgninger og beder dem om at klikke på Google AMP Cache-URL'er, der leder dem til en mellemmand landingsside.
Denne side kontrollerer User-Agent-strengen for at afgøre, om brugerens operativsystem er Windows. Hvis det er tilfældet, bruger siden søge-ms: URI-protokolbehandleren til at præsentere en Windows-genvejsfil (LNK) forklædt som en PDF ved hjælp af Adobe Acrobat Reader i et forsøg på at bedrage offeret til at åbne den.
Hvis LNK-filen eksekveres, udløser den PowerShell til at køre Python.exe fra en WebDAV-share (\library), der sender et Python-script placeret på en anden share (\resource) på den samme server som et argument.
Hvordan Voldemort Malware er installeret på kompromitterede systemer
Denne metode gør det muligt for Python at udføre scriptet uden at gemme filer på computeren, idet afhængigheder indlæses direkte fra WebDAV-share'en.
Python-scriptet er programmeret til at indsamle systemoplysninger og overføre det som en Base64-kodet streng til et domæne, der kontrolleres af angriberne. Bagefter viser den en lokke-PDF til brugeren og downloader en kodeordsbeskyttet ZIP-fil fra OpenDrive.
ZIP-arkivet indeholder to filer: en legitim eksekverbar, 'CiscoCollabHost.exe', som er sårbar over for DLL-sideindlæsning, og en ondsindet DLL-fil, 'CiscoSparkLauncher.dll' (kendt som Voldemort), som sideindlæses af den eksekverbare.
Mulighederne ved Voldemort Malware-truslen
Voldemort er en brugerdefineret bagdør skrevet i C, der kommer med funktioner til informationsindsamling og indlæsning af næste trins nyttelast, hvor malwaren bruger Google Sheets til C2, dataeksfiltrering og udførelse af kommandoer fra operatørerne.
Forskere beskrev aktiviteten som tilpasset til Advanced Persistent Threats (APT), men som bærer træk ved cyberkriminalitet på grund af brugen af teknikker, der er populære i e-kriminalitetslandskabet.
Trusselsaktører misbruger filskema-URI'er til at få adgang til eksterne fildelingsressourcer til iscenesættelse af malware, specifikt WebDAV og Server Message Block (SMB). Dette gøres ved at bruge skemaet 'fil://' og pege på en ekstern server, der hoster det truende indhold.
Denne tilgang er blevet mere og mere udbredt blandt malware-familier, der fungerer som initial access brokers (IAB'er), såsom Latrodectus , DarkGate og XWor m.
Angriberens mål forbliver ukendt
Den skadelige kampagne er blevet anset for usædvanlig, hvilket tyder på, at trusselsaktørerne oprindeligt kan have rettet sig mod en bred vifte af potentielle ofre, før de indsnævrede deres fokus til en udvalgt gruppe. Det er også muligt, at angriberne, som ser ud til at besidde forskellige niveauer af teknisk ekspertise, havde til hensigt at kompromittere flere organisationer.
Selvom mange aspekter af kampagnen ligner typiske cyberkriminelle aktiviteter, mener vi, at det sandsynligvis er en spionageindsats, der sigter mod at nå endnu ukendte mål. Kampagnens blanding af avancerede og smarte taktikker, kombineret med nogle grundlæggende teknikker, komplicerer vurderingen af trusselsaktørens evner og gør det udfordrende at bestemme deres ultimative mål med høj selvtillid.
