Voldemorti pahavara
Küberjulgeoleku teadlased on tuvastanud uue pahavarakampaania, mis kasutab Google Sheetsi käsu-ja juhtimise (C2) platvormina.
Teadlaste poolt 2024. aasta augustis tuvastatud ründekampaania maskeeritakse Euroopa, Aasia ja USA maksuhalduritena, et sihikule võtta rohkem kui 70 organisatsiooni üle maailma. Ründajad kasutavad kohandatud tööriista nimega Voldemort, mis on loodud teabe kogumiseks ja täiendava pahavara juurutamiseks.
Sihtsektorite hulka kuuluvad kindlustus, lennundus, transport, akadeemiline ringkond, rahandus, tehnoloogia, tööstus, tervishoid, autotööstus, hotellindus, energeetika, valitsus, meedia, tootmine, telekommunikatsioon ja sotsiaaltoetuste organisatsioonid. Kuigi küberspionaažikampaaniat ei ole seostatud konkreetse ohutegijaga, on nende rünnakute käigus saadetud hinnanguliselt kuni 20 000 meili.
Sisukord
Ründajate poolt ära kasutatud esialgne kompromissvektori
Avastatud meilid pärinevad väidetavalt USA, Ühendkuningriigi, Prantsusmaa, Saksamaa, Itaalia, India ja Jaapani maksuametitelt, teavitades saajaid nende maksuavalduste värskendustest ja paludes neil klõpsata Google'i AMP vahemälu URL-idel, mis suunavad nad vahendaja juurde. sihtleht.
See leht kontrollib kasutajaagendi stringi, et teha kindlaks, kas kasutaja operatsioonisüsteem on Windows. Kui see on nii, kasutab leht otsingu-ms: URI protokolli töötlejat, et esitada Windowsi otsetee (LNK) fail, mis on maskeeritud PDF-iks Adobe Acrobat Readeri abil, et petta ohvrit seda avama.
Kui LNK-fail käivitatakse, käivitab see PowerShelli Python.exe käivitamise WebDAV-i ühiskasutusse (\library), edastades argumendina Pythoni skripti, mis asub samas serveris teisel jagamisel (\ressurss).
Kuidas Voldemorti pahavara ohustatud süsteemidesse juurutatakse
See meetod võimaldab Pythonil skripti käivitada ilma faile arvutisse salvestamata, kusjuures sõltuvused laaditakse otse WebDAV-i jagamisest.
Pythoni skript on programmeeritud koguma süsteemiteavet ja edastama selle Base64-kodeeringuga stringina ründajate kontrollitavasse domeeni. Seejärel kuvab see kasutajale peibutus-PDF-i ja laadib OpenDrive'ist alla parooliga kaitstud ZIP-faili.
ZIP-arhiiv sisaldab kahte faili: seaduslikku käivitatavat faili CiscoCollabHost.exe, mis on DLL-i külglaadimise suhtes haavatav, ja pahatahtlikku DLL-faili CiscoSparkLauncher.dll (tuntud kui Voldemort), mille käivitatav fail külglaadib.
Voldemorti pahavaraohu võimalused
Voldemort on kohandatud C-keeles kirjutatud tagauks, millel on võimalused teabe kogumiseks ja järgmise etapi kasulike koormuste laadimiseks, kusjuures pahavara kasutab Google Sheets for C2, andmete väljafiltreerimist ja operaatorite käskude täitmist.
Teadlased kirjeldasid seda tegevust kui täiustatud püsivate ohtude (APT) järgimist, kuid sellel on küberkuritegevuse tunnused e-kuritegevuse maastikul populaarsete tehnikate kasutamise tõttu.
Ohutegijad kuritarvitavad failiskeemi URI-sid, et pääseda juurde välistele failijagamisressurssidele pahavara lavastamiseks, täpsemalt WebDAV-ile ja serveriteateplokile (SMB). Selleks kasutatakse skeemi "file://" ja osutatakse kaugserverile, mis majutab ähvardavat sisu.
See lähenemine on olnud üha enam levinud pahavaraperekondade seas, mis tegutsevad esialgse juurdepääsu vahendajatena (IAB), nagu Latrodectus , DarkGate ja XWor m.
Ründaja eesmärk jääb teadmata
Kahjulikku kampaaniat on peetud ebatavaliseks, mis viitab sellele, et ohustajad võisid algselt sihtida paljusid potentsiaalseid ohvreid, enne kui nad keskendusid valitud rühmale. Samuti on võimalik, et ründajad, kellel näib olevat erineva tasemega tehnilisi teadmisi, kavatsesid ohustada mitut organisatsiooni.
Kuigi kampaania paljud aspektid meenutavad tüüpilist küberkuritegelikku tegevust, usume, et tegemist on tõenäoliselt spionaažiga, mille eesmärk on saavutada seni teadmata eesmärgid. Kampaania täiustatud ja nutikatest taktikatest koosnev segu koos mõne põhitehnikaga raskendab ohus osaleja võimete hindamist ja muudab nende lõppeesmärkide enesekindla kindlaksmääramise keeruliseks.
