Voldemorto kenkėjiška programa
Kibernetinio saugumo tyrėjai nustatė naują kenkėjiškų programų kampaniją, kuri naudoja „Google“ skaičiuokles kaip komandų ir valdymo (C2) platformą.
2024 m. rugpjūčio mėn. tyrėjų aptikta atakos kampanija prisidengia Europos, Azijos ir JAV mokesčių administratoriais, nukreipta į daugiau nei 70 organizacijų visame pasaulyje. Užpuolikai naudoja pritaikytą įrankį, vadinamą Voldemort, skirtą rinkti informaciją ir įdiegti papildomą kenkėjišką programą.
Tiksliniai sektoriai apima draudimą, aviaciją, transportą, akademinę bendruomenę, finansus, technologijas, pramonę, sveikatos priežiūrą, automobilius, svetingumą, energetiką, vyriausybę, žiniasklaidą, gamybą, telekomunikacijas ir socialines organizacijas. Nors kibernetinio šnipinėjimo kampanija nebuvo siejama su konkrečiu grėsmės veikėju, skaičiuojama, kad per šias atakas buvo išsiųsta iki 20 000 el.
Turinys
Pradinis kompromiso vektorius, kurį išnaudojo užpuolikai
Manoma, kad aptikti el. laiškai yra iš JAV, JK, Prancūzijos, Vokietijos, Italijos, Indijos ir Japonijos mokesčių institucijų, informuojančių gavėjus apie jų mokesčių deklaracijų atnaujinimus ir raginančius spustelėti „Google“ AMP talpyklos URL adresus, kurie nukreipia juos pas tarpininką. nukreipimo puslapis.
Šis puslapis patikrina vartotojo agento eilutę, kad nustatytų, ar vartotojo operacinė sistema yra „Windows“. Jei taip, puslapis naudoja „Search-ms: URI“ protokolo tvarkyklę, kad pateiktų „Windows“ nuorodos (LNK) failą, paslėptą kaip PDF, naudojant „Adobe Acrobat Reader“, bandant apgauti auką, kad ji atidarytų.
Jei vykdomas LNK failas, jis suaktyvina „PowerShell“ paleisti Python.exe iš WebDAV bendrinimo (\library), kaip argumentą perduodamas Python scenarijų, esantį kitame bendrame tame pačiame serveryje (\resursas).
Kaip Voldemorto kenkėjiška programa įdiegiama pažeistose sistemose
Šis metodas leidžia Python vykdyti scenarijų neišsaugant jokių failų kompiuteryje, o priklausomybės įkeliamos tiesiogiai iš WebDAV bendrinimo.
Python scenarijus yra užprogramuotas rinkti sistemos informaciją ir perduoti ją kaip Base64 koduotą eilutę į užpuolikų valdomą domeną. Po to vartotojui rodomas jauko PDF failas ir atsisiunčiamas slaptažodžiu apsaugotas ZIP failas iš OpenDrive.
ZIP archyve yra du failai: teisėtas vykdomasis failas „CiscoCollabHost.exe“, kuris yra pažeidžiamas DLL šoniniam įkėlimui, ir kenkėjiškas DLL failas „CiscoSparkLauncher.dll“ (žinomas kaip Voldemort), kurį įkelia vykdomasis failas.
Voldemorto kenkėjiškų programų grėsmės galimybės
„Voldemort“ yra pritaikytos užpakalinės durys, parašytos C kalba, turinčios galimybę rinkti informaciją ir įkelti naujos pakopos naudingąsias apkrovas, o kenkėjiška programa naudoja „Google Sheets“, skirtą C2, duomenų išfiltravimą ir operatorių komandų vykdymą.
Tyrėjai apibūdino veiklą kaip suderintą su pažangiosiomis nuolatinėmis grėsmėmis (APT), tačiau turinčią kibernetinių nusikaltimų bruožų dėl e. nusikalstamumo srityje populiarių metodų naudojimo.
Grėsmės veikėjai piktnaudžiauja failų schemos URI, kad pasiektų išorinius failų dalijimosi išteklius, skirtus kenkėjiškų programų kūrimui, ypač WebDAV ir serverio pranešimų blokui (SMB). Tai atliekama naudojant schemą „file://“ ir nukreipiant į nuotolinį serverį, kuriame yra grėsmingas turinys.
Šis metodas vis labiau paplitęs tarp kenkėjiškų programų šeimų, kurios veikia kaip pradinės prieigos tarpininkai (IAB), pvz., Latrodectus , DarkGate ir XWor m.
Puolėjo tikslas lieka nežinomas
Žalinga kampanija buvo laikoma neįprasta, o tai rodo, kad grėsmės veikėjai iš pradžių galėjo nusitaikyti į platų potencialių aukų spektrą, o tik tada susiaurino savo dėmesį į pasirinktą grupę. Taip pat gali būti, kad užpuolikai, kurie, atrodo, turi skirtingą techninių žinių lygį, ketino pakenkti kelioms organizacijoms.
Nors daugelis kampanijos aspektų primena tipišką kibernetinę nusikalstamą veiklą, manome, kad tai greičiausiai šnipinėjimo pastangos, kuriomis siekiama dar nežinomų tikslų. Kampanijos pažangios ir sumanios taktikos derinys, derinamas su kai kuriais pagrindiniais metodais, apsunkina grėsmės veikėjo pajėgumų vertinimą ir tampa sudėtinga su dideliu pasitikėjimu nustatyti galutinius tikslus.
