Κακόβουλο λογισμικό Voldemort
Οι ερευνητές στον τομέα της κυβερνοασφάλειας εντόπισαν μια νέα καμπάνια κακόβουλου λογισμικού που χρησιμοποιεί τα Φύλλα Google ως πλατφόρμα Command-and-Control (C2).
Εντοπίστηκε από ερευνητές τον Αύγουστο του 2024, η εκστρατεία επίθεσης μεταμφιέζεται σε φορολογικές αρχές από την Ευρώπη, την Ασία και τις ΗΠΑ με στόχο περισσότερους από 70 οργανισμούς σε όλο τον κόσμο. Οι εισβολείς χρησιμοποιούν ένα προσαρμοσμένο εργαλείο που ονομάζεται Voldemort, σχεδιασμένο για τη συλλογή πληροφοριών και την ανάπτυξη πρόσθετου κακόβουλου λογισμικού.
Οι στοχευόμενοι τομείς περιλαμβάνουν τις ασφάλειες, την αεροδιαστημική, τις μεταφορές, την ακαδημαϊκή κοινότητα, τα οικονομικά, την τεχνολογία, τη βιομηχανία, την υγειονομική περίθαλψη, την αυτοκινητοβιομηχανία, τη φιλοξενία, την ενέργεια, την κυβέρνηση, τα μέσα ενημέρωσης, τη μεταποίηση, τις τηλεπικοινωνίες και τους οργανισμούς κοινωνικών παροχών. Αν και η εκστρατεία κατασκοπείας στον κυβερνοχώρο δεν έχει συνδεθεί με συγκεκριμένο παράγοντα απειλής, εκτιμάται ότι έχουν σταλεί έως και 20.000 emails σε αυτές τις επιθέσεις.
Πίνακας περιεχομένων
Αρχικό διάνυσμα συμβιβασμού που αξιοποιείται από επιτιθέμενους
Τα μηνύματα ηλεκτρονικού ταχυδρομείου που ανακαλύφθηκαν υποτίθεται ότι προέρχονται από φορολογικές αρχές στις ΗΠΑ, το Ηνωμένο Βασίλειο, τη Γαλλία, τη Γερμανία, την Ιταλία, την Ινδία και την Ιαπωνία, τα οποία ενημερώνουν τους παραλήπτες για ενημερώσεις στις φορολογικές τους δηλώσεις και τους προτρέπουν να κάνουν κλικ στις διευθύνσεις URL προσωρινής μνήμης AMP της Google που τους κατευθύνουν σε έναν ενδιάμεσο σελίδα προορισμού.
Αυτή η σελίδα ελέγχει τη συμβολοσειρά User-Agent για να προσδιορίσει εάν το λειτουργικό σύστημα του χρήστη είναι τα Windows. Εάν είναι, η σελίδα χρησιμοποιεί τον χειριστή πρωτοκόλλου search-ms: URI για να παρουσιάσει ένα αρχείο συντόμευσης των Windows (LNK) μεταμφιεσμένο σε PDF χρησιμοποιώντας το Adobe Acrobat Reader σε μια προσπάθεια να εξαπατήσει το θύμα να το ανοίξει.
Εάν το αρχείο LNK εκτελεστεί, ενεργοποιεί το PowerShell για να εκτελέσει το Python.exe από ένα κοινόχρηστο στοιχείο WebDAV (\library), μεταβιβάζοντας ως όρισμα ένα σενάριο Python που βρίσκεται σε άλλο κοινόχρηστο στοιχείο (\resource) στον ίδιο διακομιστή.
Πώς αναπτύσσεται το κακόβουλο λογισμικό Voldemort σε παραβιασμένα συστήματα
Αυτή η μέθοδος επιτρέπει στην Python να εκτελέσει το σενάριο χωρίς να αποθηκεύει κανένα αρχείο στον υπολογιστή, με τις εξαρτήσεις να φορτώνονται απευθείας από το κοινόχρηστο στοιχείο WebDAV.
Το σενάριο Python είναι προγραμματισμένο να συλλέγει πληροφορίες συστήματος και να τις μεταδίδει ως συμβολοσειρά με κωδικοποίηση Base64 σε έναν τομέα που ελέγχεται από τους εισβολείς. Στη συνέχεια, εμφανίζει ένα αποκαλυπτικό PDF στον χρήστη και κατεβάζει ένα αρχείο ZIP που προστατεύεται με κωδικό πρόσβασης από το OpenDrive.
Το αρχείο ZIP περιέχει δύο αρχεία: ένα νόμιμο εκτελέσιμο αρχείο, το "CiscoCollabHost.exe", το οποίο είναι ευάλωτο σε πλευρική φόρτωση DLL και ένα κακόβουλο αρχείο DLL, το "CiscoSparkLauncher.dll" (γνωστό ως Voldemort), το οποίο φορτώνεται πλευρικά από το εκτελέσιμο αρχείο.
Δυνατότητες της απειλής κακόβουλου λογισμικού Voldemort
Το Voldemort είναι μια προσαρμοσμένη κερκόπορτα γραμμένη σε C που διαθέτει δυνατότητες για συλλογή πληροφοριών και φόρτωση ωφέλιμων φορτίων επόμενου σταδίου, με το κακόβουλο λογισμικό να χρησιμοποιεί τα Φύλλα Google για το C2, την εξαγωγή δεδομένων και την εκτέλεση εντολών από τους χειριστές.
Οι ερευνητές περιέγραψαν τη δραστηριότητα ως ευθυγραμμισμένη με τις προηγμένες επίμονες απειλές (APT), αλλά φέρει χαρακτηριστικά εγκλήματος στον κυβερνοχώρο λόγω της χρήσης τεχνικών δημοφιλών στο τοπίο του ηλεκτρονικού εγκλήματος.
Οι φορείς απειλών κάνουν κατάχρηση URI σχημάτων αρχείων για πρόσβαση σε εξωτερικούς πόρους κοινής χρήσης αρχείων για σταδιοποίηση κακόβουλου λογισμικού, ειδικά WebDAV και Μπλοκ μηνυμάτων διακομιστή (SMB). Αυτό γίνεται χρησιμοποιώντας το schema' file://' και δείχνοντας έναν απομακρυσμένο διακομιστή που φιλοξενεί το απειλητικό περιεχόμενο.
Αυτή η προσέγγιση είναι ολοένα και πιο διαδεδομένη μεταξύ των οικογενειών κακόβουλου λογισμικού που λειτουργούν ως μεσίτες αρχικής πρόσβασης (IABs), όπως τα Latrodectus , DarkGate και XWor m.
Ο στόχος του επιτιθέμενου παραμένει άγνωστος
Η επιβλαβής εκστρατεία κρίθηκε ασυνήθιστη, υποδηλώνοντας ότι οι φορείς της απειλής μπορεί να είχαν αρχικά στοχεύσει ένα ευρύ φάσμα πιθανών θυμάτων πριν περιορίσουν την εστίασή τους σε μια επιλεγμένη ομάδα. Είναι επίσης πιθανό οι επιτιθέμενοι, οι οποίοι φαίνεται να διαθέτουν διαφορετικά επίπεδα τεχνικής εμπειρογνωμοσύνης, να σκόπευαν να παραβιάσουν πολλούς οργανισμούς.
Αν και πολλές πτυχές της καμπάνιας μοιάζουν με τυπικές διαδικτυακές εγκληματικές δραστηριότητες, πιστεύουμε ότι είναι πιθανώς μια προσπάθεια κατασκοπείας που στοχεύει στην επίτευξη άγνωστων ακόμη στόχων. Ο συνδυασμός προηγμένων και έξυπνων τακτικών της εκστρατείας, σε συνδυασμό με ορισμένες βασικές τεχνικές, περιπλέκει την αξιολόγηση των δυνατοτήτων του παράγοντα απειλής και καθιστά δύσκολο τον καθορισμό των τελικών στόχων του με υψηλή σιγουριά.
