Voldemort zlonamjerni softver
Istraživači kibernetičke sigurnosti identificirali su novu kampanju zlonamjernog softvera koja koristi Google tablice kao Command-and-Control (C2) platformu.
Istraživači su je otkrili u kolovozu 2024., kampanja napada maskirana je poreznim upravama iz Europe, Azije i SAD-a kako bi ciljala na više od 70 organizacija širom svijeta. Napadači koriste prilagođeni alat nazvan Voldemort, dizajniran za prikupljanje informacija i postavljanje dodatnog zlonamjernog softvera.
Ciljani sektori uključuju osiguranje, zrakoplovstvo, transport, akademsku zajednicu, financije, tehnologiju, industriju, zdravstvo, automobilsku industriju, ugostiteljstvo, energetiku, vladu, medije, proizvodnju, telekomunikacije i društvene organizacije. Iako kampanja cyber špijunaže nije povezana s određenim akterom prijetnje, procjenjuje se da je u tim napadima poslano do 20.000 e-poruka.
Sadržaj
Početni kompromitirani vektor koji napadači iskorištavaju
Otkrivene e-poruke navodno dolaze od poreznih vlasti iz SAD-a, UK-a, Francuske, Njemačke, Italije, Indije i Japana, obavještavaju primatelje o ažuriranjima njihovih poreznih prijava i potiču ih da kliknu URL-ove Google AMP Cachea koji ih usmjeravaju na posrednika odredišna stranica.
Ova stranica provjerava niz korisničkog agenta kako bi utvrdila je li korisnikov operativni sustav Windows. Ako jest, stranica koristi rukovatelj protokolom search-ms: URI za predstavljanje datoteke Windows prečaca (LNK) prerušene u PDF koristeći Adobe Acrobat Reader u pokušaju da prevari žrtvu da je otvori.
Ako se LNK datoteka izvrši, ona pokreće PowerShell da pokrene Python.exe iz WebDAV dijeljenja (\library), prosljeđujući Python skriptu koja se nalazi na drugom dijeljenju (\resource) na istom poslužitelju kao argument.
Kako se zlonamjerni softver Voldemort postavlja na kompromitirane sustave
Ova metoda omogućuje Pythonu da izvrši skriptu bez spremanja datoteka na računalo, s ovisnostima koje se izravno učitavaju iz WebDAV dijeljenja.
Python skripta je programirana za prikupljanje informacija o sustavu i njihovo slanje kao Base64-kodirani niz u domenu koju kontroliraju napadači. Nakon toga korisniku prikazuje PDF mamac i s OpenDrivea preuzima ZIP datoteku zaštićenu lozinkom.
ZIP arhiva sadrži dvije datoteke: legitimnu izvršnu datoteku, 'CiscoCollabHost.exe', koja je ranjiva na bočno učitavanje DLL-a, i zlonamjernu DLL datoteku, 'CiscoSparkLauncher.dll' (poznatu kao Voldemort), koju izvršna datoteka bočno učitava.
Mogućnosti zlonamjernog softvera Voldemort
Voldemort je prilagođeni backdoor napisan u C-u koji dolazi s mogućnostima za prikupljanje informacija i učitavanje sadržaja sljedeće faze, pri čemu zlonamjerni softver koristi Google tablice za C2, eksfiltraciju podataka i izvršavanje naredbi od operatera.
Istraživači su opisali aktivnost kao usklađenu s naprednim trajnim prijetnjama (APT), ali noseći obilježja kibernetičkog kriminala zahvaljujući korištenju tehnika popularnih u krajoliku e-kriminala.
Akteri prijetnji zlorabe URI-je sheme datoteka za pristup vanjskim resursima za dijeljenje datoteka za inscenaciju zlonamjernog softvera, posebno WebDAV i blok poruka poslužitelja (SMB). To se postiže korištenjem sheme 'file://' i upućivanjem na udaljeni poslužitelj koji hostira prijeteći sadržaj.
Ovaj pristup sve više prevladava među obiteljima zlonamjernog softvera koji djeluju kao brokeri početnog pristupa (IAB), kao što su Latrodectus , DarkGate i XWorm .
Cilj napadača ostaje nepoznat
Štetna kampanja smatra se neuobičajenom, što sugerira da su akteri prijetnje možda u početku ciljali na širok raspon potencijalnih žrtava prije nego što su suzili fokus na odabranu skupinu. Također je moguće da su napadači, za koje se čini da posjeduju različite razine tehničke stručnosti, namjeravali kompromitirati više organizacija.
Iako mnogi aspekti kampanje nalikuju tipičnim aktivnostima kibernetičkog kriminala, vjerujemo da se vjerojatno radi o pokušaju špijunaže usmjerenom na postizanje još nepoznatih ciljeva. Mješavina naprednih i pametnih taktika u kampanji, u kombinaciji s nekim osnovnim tehnikama, komplicira procjenu sposobnosti aktera prijetnje i čini izazovom određivanje njihovih krajnjih ciljeva s velikom pouzdanošću.
