بدافزار ولدمورت

محققان امنیت سایبری کمپین بدافزار جدیدی را شناسایی کرده اند که از Google Sheets به عنوان یک پلتفرم Command-and-Control (C2) استفاده می کند.

این کمپین حمله که توسط محققان در آگوست 2024 شناسایی شد، به عنوان مقامات مالیاتی اروپا، آسیا و ایالات متحده ظاهر شد تا بیش از 70 سازمان را در سراسر جهان هدف قرار دهد. مهاجمان از یک ابزار سفارشی به نام ولدمورت استفاده می کنند که برای جمع آوری اطلاعات و استقرار بدافزارهای اضافی طراحی شده است.

بخش های مورد نظر شامل بیمه، هوافضا، حمل و نقل، دانشگاه، امور مالی، فناوری، صنعتی، مراقبت های بهداشتی، خودرو، مهمان نوازی، انرژی، دولت، رسانه، تولید، مخابرات و سازمان های منافع اجتماعی است. اگرچه کمپین جاسوسی سایبری به عامل تهدید خاصی مرتبط نشده است، تخمین زده می شود که تا 20000 ایمیل در این حملات ارسال شده است.

بردار سازش اولیه که توسط مهاجمان مورد سوء استفاده قرار گرفت

ایمیل‌های کشف‌شده ظاهراً از سوی مقامات مالیاتی در ایالات متحده، بریتانیا، فرانسه، آلمان، ایتالیا، هند و ژاپن هستند که دریافت‌کنندگان را از به‌روزرسانی‌های پرونده‌های مالیاتی خود مطلع می‌کنند و از آن‌ها می‌خواهند روی URL‌های حافظه پنهان Google AMP کلیک کنند که آنها را به یک واسطه هدایت می‌کند. صفحه فرود

این صفحه رشته User-Agent را بررسی می کند تا مشخص کند که آیا سیستم عامل کاربر ویندوز است یا خیر. اگر اینطور باشد، صفحه از کنترل کننده پروتکل search-ms: URI برای ارائه یک فایل میانبر ویندوز (LNK) که به صورت PDF پنهان شده است با استفاده از Adobe Acrobat Reader در تلاش برای فریب قربانی برای باز کردن آن استفاده می کند.

اگر فایل LNK اجرا شود، PowerShell را راه‌اندازی می‌کند تا Python.exe را از یک اشتراک WebDAV (\library) اجرا کند و یک اسکریپت پایتون واقع در یک اشتراک دیگر (\resource) در همان سرور را به عنوان آرگومان ارسال کند.

نحوه استقرار بدافزار ولدمورت در سیستم های در معرض خطر

این روش به پایتون اجازه می دهد تا اسکریپت را بدون ذخیره هیچ فایلی در رایانه اجرا کند و وابستگی ها مستقیماً از اشتراک WebDAV بارگیری شوند.

اسکریپت پایتون طوری برنامه ریزی شده است که اطلاعات سیستم را جمع آوری کرده و آن را به عنوان یک رشته کدگذاری شده با Base64 به دامنه ای که توسط مهاجمان کنترل می شود، انتقال دهد. پس از آن، یک PDF فریبنده را به کاربر نمایش می دهد و یک فایل ZIP محافظت شده با رمز عبور را از OpenDrive دانلود می کند.

آرشیو ZIP شامل دو فایل است: یک فایل اجرایی قانونی، «CiscoCollabHost.exe» که در برابر بارگذاری جانبی DLL آسیب پذیر است، و یک فایل DLL مخرب، «CiscoSparkLauncher.dll» (معروف به ولدمورت)، که توسط فایل اجرایی بارگذاری می شود.

قابلیت های تهدید بدافزار ولدمورت

ولدمورت یک درب پشتی سفارشی است که به زبان C نوشته شده است که دارای قابلیت هایی برای جمع آوری اطلاعات و بارگیری محموله های مرحله بعدی است، با بدافزاری که از Google Sheets برای C2، استخراج داده ها و اجرای دستورات اپراتورها استفاده می کند.

محققان این فعالیت را مطابق با تهدیدهای پایدار پیشرفته (APT) توصیف کردند، اما به دلیل استفاده از تکنیک های رایج در چشم انداز جرایم الکترونیکی، دارای ویژگی های جرایم سایبری است.

عاملان تهدید از URIهای طرحواره فایل برای دسترسی به منابع اشتراک گذاری فایل خارجی برای مرحله بندی بدافزار، به ویژه WebDAV و بلاک پیام سرور (SMB) سوء استفاده می کنند. این کار با استفاده از schema' file://' و اشاره به یک سرور راه دور که محتوای تهدید کننده را میزبانی می کند انجام می شود.

این رویکرد به طور فزاینده ای در میان خانواده های بدافزار که به عنوان واسطه های دسترسی اولیه (IAB) عمل می کنند، مانند Latrodectus ، DarkGate و XWor m رایج بوده است.

هدف مهاجم ناشناخته مانده است

این کمپین مضر غیرعادی تلقی می‌شود، و نشان می‌دهد که عوامل تهدید ممکن است در ابتدا طیف وسیعی از قربانیان بالقوه را هدف قرار داده باشند، قبل از اینکه تمرکز خود را به یک گروه منتخب محدود کنند. همچنین این احتمال وجود دارد که مهاجمان، که به نظر می رسد دارای سطوح مختلف تخصص فنی هستند، قصد داشته باشند چندین سازمان را به خطر بیندازند.

اگرچه بسیاری از جنبه‌های این کمپین شبیه فعالیت‌های مجرمانه سایبری معمولی است، ما معتقدیم که احتمالاً این یک تلاش جاسوسی با هدف دستیابی به اهدافی است که هنوز ناشناخته است. ترکیبی از تاکتیک‌های پیشرفته و هوشمندانه کمپین، همراه با برخی تکنیک‌های اساسی، ارزیابی توانایی‌های عامل تهدید را پیچیده می‌کند و تعیین اهداف نهایی آنها را با اطمینان بالا دشوار می‌سازد.