תוכנות זדוניות של וולדמורט
חוקרי אבטחת סייבר זיהו קמפיין תוכנה זדוני חדש המשתמש ב-Google Sheets כפלטפורמת פקודה ושליטה (C2).
זוהה על ידי חוקרים באוגוסט 2024, מסע התקיפה מתחזה לרשויות מס מאירופה, אסיה וארה"ב כדי להתמקד ביותר מ-70 ארגונים ברחבי העולם. התוקפים משתמשים בכלי מותאם אישית בשם Voldemort, שנועד לאסוף מידע ולפרוס תוכנות זדוניות נוספות.
המגזרים הממוקדים כוללים ביטוח, תעופה וחלל, תחבורה, אקדמיה, פיננסים, טכנולוגיה, תעשייה, בריאות, רכב, אירוח, אנרגיה, ממשלה, מדיה, ייצור, טלקום וארגוני תועלת חברתית. למרות שקמפיין ריגול הסייבר לא נקשר לגורם איומים ספציפי, ההערכה היא כי עד 20,000 מיילים נשלחו במתקפות אלו.
תוכן העניינים
וקטור פשרה ראשוני מנוצל על ידי תוקפים
הודעות הדוא"ל שהתגלו מתיימרות להיות מרשויות המס בארה"ב, בריטניה, צרפת, גרמניה, איטליה, הודו ויפן, המודיעות לנמענים על עדכונים בהגשת המס שלהם ומנחה אותם ללחוץ על כתובות האתרים של Google AMP Cache שמפנות אותם למתווך דף נחיתה.
דף זה בודק את מחרוזת User-Agent כדי לקבוע אם מערכת ההפעלה של המשתמש היא Windows. אם כן, הדף משתמש בפרוטוקול החיפוש-ms: URI כדי להציג קובץ קיצור של Windows (LNK) במסווה של PDF באמצעות Adobe Acrobat Reader בניסיון להונות את הקורבן לפתוח אותו.
אם קובץ ה-LNK מבוצע, הוא מפעיל את PowerShell להפעיל את Python.exe משיתוף WebDAV (\library), תוך העברת סקריפט של Python הממוקם בשיתוף אחר (\resource) באותו שרת כארגומנט.
כיצד מופעל תוכנת זדונית של וולדמורט על מערכות שנפגעו
שיטה זו מאפשרת לפייתון לבצע את הסקריפט מבלי לשמור קבצים כלשהם במחשב, כאשר תלות נטענת ישירות משיתוף ה-WebDAV.
הסקריפט של Python מתוכנת לאסוף מידע מערכת ולשדר אותו כמחרוזת מקודדת Base64 לתחום הנשלט על ידי התוקפים. לאחר מכן, הוא מציג למשתמש קובץ PDF מטעה ומוריד קובץ ZIP מוגן בסיסמה מ-OpenDrive.
ארכיון ה-ZIP מכיל שני קבצים: קובץ הפעלה לגיטימי, 'CiscoCollabHost.exe' הפגיע להעלאת DLL בצד, וקובץ DLL זדוני, 'CiscoSparkLauncher.dll' (הידוע בשם Voldemort), אשר מוטען על ידי קובץ ההפעלה.
היכולות של איום וולדמורט זדוני
וולדמורט היא דלת אחורית מותאמת אישית שנכתבה ב-C שמגיעה עם יכולות לאיסוף מידע וטעינת מטענים בשלב הבא, כשהתוכנה הזדונית משתמשת ב-Google Sheets עבור C2, חילוץ נתונים וביצוע פקודות מהמפעילים.
חוקרים תיארו את הפעילות כמתואמת ל-Advanced Persistent Threats (APT) אך נושאת תכונות של פשע סייבר עקב השימוש בטכניקות פופולריות בנוף הפשע האלקטרוני.
שחקנים מאיימים עושים שימוש לרעה ב-URI של סכימת קבצים כדי לגשת למשאבים חיצוניים של שיתוף קבצים עבור תכנון תוכנות זדוניות, במיוחד WebDAV ו-Server Message Block (SMB). זה נעשה על ידי שימוש בסכימה ' file://' והצבעה על שרת מרוחק המארח את התוכן המאיים.
גישה זו נפוצה יותר ויותר בקרב משפחות תוכנות זדוניות הפועלות כמתווכי גישה ראשונית (IABs), כגון Latrodectus , DarkGate ו- XWor m.
המטרה של התוקף לא ידועה
הקמפיין המזיק נחשב יוצא דופן, מה שמרמז כי ייתכן ששחקני האיום כוונו בתחילה למגוון רחב של קורבנות פוטנציאליים לפני שצמצמו את המיקוד שלהם לקבוצה נבחרת. ייתכן גם שהתוקפים, שנראים בעלי רמות שונות של מומחיות טכנית, התכוונו לסכן מספר ארגונים.
למרות שהיבטים רבים של הקמפיין דומים לפעילויות עברייניות סייבר טיפוסיות, אנו מאמינים כי מדובר ככל הנראה במאמץ ריגול שמטרתו להשיג יעדים שעדיין לא ידועים. השילוב של הקמפיין של טקטיקות מתקדמות וחכמות, בשילוב עם כמה טכניקות בסיסיות, מסבך את הערכת היכולות של שחקן האיום והופך את זה למאתגר לקבוע את המטרות הסופיות שלהם בביטחון רב.
