Voldemort Malware
A kiberbiztonsági kutatók egy új rosszindulatú programkampányt azonosítottak, amely a Google Táblázatokat használja Command-and-Control (C2) platformként.
A kutatók 2024 augusztusában észlelték a támadást, amely európai, ázsiai és amerikai adóhatóságnak álcázza magát, és világszerte több mint 70 szervezetet céloz meg. A támadók egy Voldemort nevű egyéni eszközt használnak, amelyet információgyűjtésre és további rosszindulatú programok telepítésére terveztek.
A megcélzott ágazatok közé tartozik a biztosítás, a repülőgépipar, a szállítás, a tudományos élet, a pénzügy, a technológia, az ipar, az egészségügy, az autóipar, a vendéglátás, az energia, a kormányzat, a média, a gyártás, a távközlés és a szociális szervezetek. Bár a kiberkémkedési kampányt nem hozták összefüggésbe egy konkrét fenyegetés szereplővel, a becslések szerint akár 20 000 e-mailt is küldtek ezekben a támadásokban.
Tartalomjegyzék
A támadók által kihasznált kezdeti kompromisszumos vektor
A felfedezett e-mailek állítólag az Egyesült Államok, az Egyesült Királyság, Franciaország, Németország, Olaszország, India és Japán adóhatóságaitól származnak, és tájékoztatják a címzetteket az adóbevallásaik frissítéseiről, és arra kérik őket, hogy kattintson a Google AMP-gyorsítótár URL-címeire, amelyek egy közvetítőhöz irányítják őket. céloldal.
Ez az oldal ellenőrzi a User-Agent karakterláncot annak megállapítására, hogy a felhasználó operációs rendszere Windows-e. Ha igen, akkor az oldal a search-ms: URI protokollkezelőt használja egy Windows parancsikon (LNK) fájl bemutatására PDF-nek álcázott Adobe Acrobat Reader segítségével, hogy megpróbálja rávenni az áldozatot, hogy nyissa meg.
Ha az LNK-fájl végrehajtásra kerül, akkor a PowerShell a Python.exe-t egy WebDAV-megosztásból (\library) futtatja, argumentumként átadva az ugyanazon a kiszolgálón lévő másik megosztáson (\resource) található Python-szkriptet.
A Voldemort Malware telepítése a feltört rendszereken
Ez a módszer lehetővé teszi a Python számára, hogy a szkriptet anélkül hajtsa végre, hogy fájlokat mentene a számítógépre, és a függőségek közvetlenül a WebDAV-megosztásból töltődnek be.
A Python-szkript úgy van programozva, hogy rendszerinformációkat gyűjtsön, és Base64-kódolású karakterláncként továbbítsa a támadók által irányított tartományba. Ezt követően megjelenít egy csali-PDF-et a felhasználónak, és letölt egy jelszóval védett ZIP-fájlt az OpenDrive-ról.
A ZIP-archívum két fájlt tartalmaz: egy törvényes végrehajtható fájlt, a 'CiscoCollabHost.exe'-t, amely sebezhető a DLL oldalbetöltésével szemben, és egy rosszindulatú DLL-fájlt, a 'CiscoSparkLauncher.dll' (más néven Voldemort), amelyet a végrehajtható fájl oldalra tölt be.
A Voldemort Malware Threat képességei
A Voldemort egy egyedi, C nyelven írt hátsó ajtó, amely információgyűjtésre és a következő fázisú rakományok betöltésére szolgál, a rosszindulatú program a Google Sheets for C2-t használja, az adatok kiszűrését és az operátorok parancsait hajtja végre.
A kutatók úgy írták le, hogy ez a tevékenység az Advanced Persistent Threats-hez (APT) igazodik, de az e-bûnözés területén elterjedt technikák használatának köszönhetõen hordozza a kiberbûnözés jegyeit.
A fenyegetés szereplői visszaélnek a fájlséma URI-kkal, hogy hozzáférjenek a külső fájlmegosztó erőforrásokhoz a rosszindulatú programok állomásoztatásához, különösen a WebDAV-hoz és a Server Message Blockhoz (SMB). Ez a "file://" séma használatával történik, és egy távoli kiszolgálóra mutat, amely a fenyegető tartalmat tárolja.
Ez a megközelítés egyre inkább elterjedt a kezdeti hozzáférési közvetítőként (IAB) működő rosszindulatú programcsaládok körében, mint például a Latrodectus , a DarkGate és az XWor m.
A támadó gólja ismeretlen marad
A káros kampányt szokatlannak ítélték, ami arra utal, hogy a fenyegetés szereplői kezdetben a potenciális áldozatok széles körét célozhatták meg, mielőtt egy kiválasztott csoportra szűkítették volna a fókuszukat. Az is lehetséges, hogy a támadók, akik úgy tűnik, hogy különböző szintű technikai szakértelemmel rendelkeznek, több szervezetet is kompromittáltak.
Bár a kampány számos aspektusa tipikus kiberbűnözői tevékenységekre hasonlít, úgy gondoljuk, hogy valószínűleg kémkedésről van szó, amelynek célja még ismeretlen célok elérése. A kampány fejlett és okos taktikáinak ötvözete néhány alapvető technikával kombinálva megnehezíti a fenyegetés szereplői képességeinek felmérését, és megnehezíti végső céljaik nagy magabiztossággal történő meghatározását.
