वोल्डेमॉर्ट मैलवेयर

साइबर सुरक्षा शोधकर्ताओं ने एक नए मैलवेयर अभियान की पहचान की है जो गूगल शीट्स को कमांड-एंड-कंट्रोल (C2) प्लेटफॉर्म के रूप में उपयोग करता है।

अगस्त 2024 में शोधकर्ताओं द्वारा पता लगाया गया, यह हमला अभियान यूरोप, एशिया और अमेरिका के कर अधिकारियों के रूप में दुनिया भर में 70 से अधिक संगठनों को लक्षित करने के लिए किया गया था। हमलावर वोल्डेमॉर्ट नामक एक कस्टम टूल का उपयोग करते हैं, जिसे जानकारी एकत्र करने और अतिरिक्त मैलवेयर तैनात करने के लिए डिज़ाइन किया गया है।

लक्षित क्षेत्रों में बीमा, एयरोस्पेस, परिवहन, शिक्षा, वित्त, प्रौद्योगिकी, औद्योगिक, स्वास्थ्य सेवा, मोटर वाहन, आतिथ्य, ऊर्जा, सरकार, मीडिया, विनिर्माण, दूरसंचार और सामाजिक लाभ संगठन शामिल हैं। हालाँकि साइबर जासूसी अभियान को किसी विशिष्ट खतरे वाले अभिनेता से नहीं जोड़ा गया है, लेकिन अनुमान है कि इन हमलों में 20,000 ईमेल भेजे गए हैं।

हमलावरों द्वारा प्रारंभिक समझौता वेक्टर का शोषण किया गया

खोजे गए ईमेल कथित तौर पर अमेरिका, ब्रिटेन, फ्रांस, जर्मनी, इटली, भारत और जापान के कर अधिकारियों से हैं, जो प्राप्तकर्ताओं को उनके कर दाखिलों के अपडेट के बारे में सूचित करते हैं और उन्हें गूगल एएमपी कैश यूआरएल पर क्लिक करने के लिए प्रेरित करते हैं, जो उन्हें एक मध्यस्थ लैंडिंग पेज पर ले जाता है।

यह पृष्ठ उपयोगकर्ता-एजेंट स्ट्रिंग की जाँच करता है ताकि यह निर्धारित किया जा सके कि उपयोगकर्ता का ऑपरेटिंग सिस्टम विंडोज है या नहीं। यदि ऐसा है, तो पृष्ठ सर्च-एमएस: यूआरआई प्रोटोकॉल हैंडलर का उपयोग करके एडोब एक्रोबेट रीडर का उपयोग करके पीडीएफ के रूप में प्रच्छन्न विंडोज शॉर्टकट (एलएनके) फ़ाइल प्रस्तुत करता है ताकि पीड़ित को इसे खोलने के लिए धोखा दिया जा सके।

यदि LNK फ़ाइल निष्पादित होती है, तो यह PowerShell को WebDAV शेयर (\library) से Python.exe चलाने के लिए ट्रिगर करता है, तथा उसी सर्वर पर किसी अन्य शेयर (\resource) पर स्थित Python स्क्रिप्ट को तर्क के रूप में पास करता है।

वोल्डेमॉर्ट मैलवेयर को समझौता किए गए सिस्टम पर कैसे तैनात किया जाता है

यह विधि पाइथन को कंप्यूटर पर कोई भी फाइल सहेजे बिना स्क्रिप्ट निष्पादित करने की अनुमति देती है, जिसमें निर्भरताएं सीधे WebDAV शेयर से लोड की जाती हैं।

पायथन स्क्रिप्ट को सिस्टम की जानकारी एकत्र करने और इसे हमलावरों द्वारा नियंत्रित डोमेन में बेस 64-एनकोडेड स्ट्रिंग के रूप में संचारित करने के लिए प्रोग्राम किया गया है। इसके बाद, यह उपयोगकर्ता को एक नकली पीडीएफ दिखाता है और ओपनड्राइव से पासवर्ड से सुरक्षित ज़िप फ़ाइल डाउनलोड करता है।

ज़िप संग्रह में दो फ़ाइलें हैं: एक वैध निष्पादनयोग्य, 'CiscoCollabHost.exe', जो DLL साइडलोडिंग के प्रति संवेदनशील है, और एक दुर्भावनापूर्ण DLL फ़ाइल, 'CiscoSparkLauncher.dll' (जिसे Voldemort के नाम से जाना जाता है), जो निष्पादनयोग्य द्वारा साइडलोड की गई है।

वोल्डेमॉर्ट मैलवेयर खतरे की क्षमताएँ

वोल्डेमॉर्ट सी भाषा में लिखा गया एक कस्टम बैकडोर है, जो सूचना एकत्र करने और अगले चरण के पेलोड लोड करने की क्षमताओं के साथ आता है, जिसमें मैलवेयर सी2 के लिए गूगल शीट्स का उपयोग करता है, डेटा एक्सफिलट्रेशन करता है और ऑपरेटरों से प्राप्त आदेशों को निष्पादित करता है।

शोधकर्ताओं ने इस गतिविधि को उन्नत सतत खतरों (APT) से जुड़ा हुआ बताया, लेकिन ई-अपराध परिदृश्य में लोकप्रिय तकनीकों के उपयोग के कारण इसमें साइबर अपराध के लक्षण भी मौजूद थे।

ख़तरा पैदा करने वाले लोग मैलवेयर स्टेजिंग के लिए बाहरी फ़ाइल-शेयरिंग संसाधनों तक पहुँचने के लिए फ़ाइल स्कीमा URI का दुरुपयोग करते हैं, विशेष रूप से WebDAV और सर्वर मैसेज ब्लॉक (SMB)। यह स्कीमा 'फ़ाइल://' का उपयोग करके और ख़तरनाक सामग्री को होस्ट करने वाले दूरस्थ सर्वर की ओर इशारा करके किया जाता है।

यह दृष्टिकोण मैलवेयर परिवारों के बीच तेजी से प्रचलित हो रहा है जो प्रारंभिक पहुंच ब्रोकर्स (IABs) के रूप में कार्य करते हैं, जैसे कि लैट्रोडेक्टस , डार्कगेट और एक्सवॉर्म।

हमलावर का लक्ष्य अज्ञात

हानिकारक अभियान को असामान्य माना गया है, जिससे पता चलता है कि धमकी देने वाले अभिनेताओं ने शुरू में संभावित पीड़ितों की एक विस्तृत श्रृंखला को लक्षित किया होगा, फिर अपना ध्यान एक चुनिंदा समूह तक सीमित कर दिया होगा। यह भी संभव है कि हमलावर, जिनके पास अलग-अलग स्तर की तकनीकी विशेषज्ञता है, का इरादा कई संगठनों को खतरे में डालना था।

हालाँकि अभियान के कई पहलू सामान्य साइबर अपराधी गतिविधियों से मिलते जुलते हैं, लेकिन हमारा मानना है कि यह संभवतः एक जासूसी प्रयास है जिसका उद्देश्य अभी तक अज्ञात उद्देश्यों को प्राप्त करना है। अभियान में उन्नत और चतुर रणनीतियों का मिश्रण, कुछ बुनियादी तकनीकों के साथ मिलकर, खतरे वाले अभिनेता की क्षमताओं के आकलन को जटिल बनाता है और उच्च आत्मविश्वास के साथ उनके अंतिम लक्ष्यों को निर्धारित करना चुनौतीपूर्ण बनाता है।