Voldemort Haittaohjelma
Kyberturvallisuustutkijat ovat tunnistaneet uuden haittaohjelmakampanjan, joka käyttää Google Sheetsia Command-and-Control (C2) -alustana.
Tutkijat havaitsivat elokuussa 2024, että hyökkäyskampanja naamioituu Euroopan, Aasian ja Yhdysvaltojen veroviranomaisiksi ja kohdistuu yli 70 organisaatioon maailmanlaajuisesti. Hyökkääjät käyttävät mukautettua työkalua nimeltä Voldemort, joka on suunniteltu keräämään tietoja ja asentamaan lisää haittaohjelmia.
Kohdealueita ovat vakuutus-, ilmailu-, kuljetus-, korkeakoulu-, rahoitus-, teknologia-, teollisuus-, terveydenhuolto-, auto-, ravintola-, energia-, hallinto-, media-, valmistus-, televiestintä- ja sosiaalialan organisaatiot. Vaikka kybervakoilukampanjaa ei ole liitetty tiettyyn uhkatekijään, on arvioitu, että näissä hyökkäyksissä on lähetetty jopa 20 000 sähköpostia.
Sisällysluettelo
Hyökkääjien käyttämä alkuperäinen kompromissivektori
Löydetyt sähköpostit väittävät olevan peräisin Yhdysvaltojen, Yhdistyneen kuningaskunnan, Ranskan, Saksan, Italian, Intian ja Japanin veroviranomaisilta, ja niissä tiedotetaan vastaanottajille veroilmoitusten päivityksistä ja kehotetaan heitä napsauttamaan Googlen AMP-välimuistin URL-osoitteita, jotka ohjaavat heidät välittäjälle. aloitussivu.
Tämä sivu tarkistaa User-Agent-merkkijonon määrittääkseen, onko käyttäjän käyttöjärjestelmä Windows. Jos on, sivu käyttää search-ms: URI-protokollan käsittelijää PDF-muodossa naamioituneen LNK-tiedoston (Windows-pikakuvakkeen) esittämiseen Adobe Acrobat Readerin avulla yrittäen huijata uhria avaamaan se.
Jos LNK-tiedosto suoritetaan, se laukaisee PowerShellin suorittamaan Python.exe-ohjelman WebDAV-jaosta (\kirjasto) ja välittää argumenttina Python-komentosarjan, joka sijaitsee toisessa osuudessa (\resurssissa) samalla palvelimella.
Kuinka Voldemort-haittaohjelma otetaan käyttöön vaarantuneissa järjestelmissä
Tämän menetelmän avulla Python voi suorittaa komentosarjan tallentamatta tiedostoja tietokoneeseen, ja riippuvuudet ladataan suoraan WebDAV-jaosta.
Python-komentosarja on ohjelmoitu keräämään järjestelmätietoja ja lähettämään ne Base64-koodattuna merkkijonona hyökkääjien hallitsemaan toimialueeseen. Myöhemmin se näyttää houkutus-PDF:n käyttäjälle ja lataa salasanalla suojatun ZIP-tiedoston OpenDrivesta.
ZIP-arkisto sisältää kaksi tiedostoa: laillisen suoritettavan tiedoston "CiscoCollabHost.exe", joka on alttiina DLL-sivulataukselle, ja haitallisen DLL-tiedoston, "CiscoSparkLauncher.dll" (tunnetaan nimellä Voldemort), jonka suoritettava tiedosto sivulataa.
Voldemort-haittaohjelmauhan ominaisuudet
Voldemort on mukautettu C-kielellä kirjoitettu takaovi, joka sisältää ominaisuudet tiedon keräämiseen ja seuraavan vaiheen hyötykuormien lataamiseen. Haittaohjelma hyödyntää Google Sheets for C2:ta, tietojen suodatusta ja operaattoreiden komentojen suorittamista.
Tutkijat kuvailivat toimintaa Advanced Persistent Threats (APT) -periaatteen mukaiseksi, mutta sillä on kyberrikollisuuden piirteitä, koska käytössä on e-rikosmaailmassa suosittuja tekniikoita.
Uhkatoimijat väärinkäyttävät tiedostoskeeman URI-tunnisteita päästäkseen ulkoisiin tiedostonjakoresursseihin haittaohjelmien, erityisesti WebDAV:n ja SMB:n, käyttöä varten. Tämä tehdään käyttämällä skeemaa "file://" ja osoittamalla etäpalvelimeen, joka isännöi uhkaavaa sisältöä.
Tämä lähestymistapa on ollut yhä yleisempi haittaohjelmaperheissä, jotka toimivat alkupääsyn välittäjinä (IAB), kuten Latrodectus , DarkGate ja XWor m.
Hyökkääjän tavoite on edelleen tuntematon
Haitallista kampanjaa on pidetty epätavallisena, mikä viittaa siihen, että uhkatekijät ovat saattaneet kohdistaa alun perin laajaan joukkoon mahdollisia uhreja ennen kuin he ovat rajanneet huomionsa tiettyyn ryhmään. On myös mahdollista, että hyökkääjät, joilla näyttää olevan eritasoinen tekninen asiantuntemus, aikoivat vaarantaa useita organisaatioita.
Vaikka monet kampanjan osat muistuttavat tyypillistä kyberrikollista toimintaa, uskomme sen olevan todennäköisesti vakoiluyritys, jolla pyritään saavuttamaan vielä tuntemattomia tavoitteita. Kampanjan sekoitus edistyneitä ja älykkäitä taktiikoita yhdistettynä joihinkin perustekniikoihin vaikeuttaa uhkatoimijan kykyjen arviointia ja tekee heidän lopullisten tavoitteidensa määrittämisestä haastavaa suurella varmuudella.
