Voldemorta ļaunprātīga programmatūra
Kiberdrošības pētnieki ir identificējuši jaunu ļaunprātīgas programmatūras kampaņu, kas izmanto Google izklājlapas kā komandu un vadības (C2) platformu.
Uzbrukuma kampaņa, ko pētnieki atklāja 2024. gada augustā, tiek maskēta kā Eiropas, Āzijas un ASV nodokļu iestādes, lai mērķētu vairāk nekā 70 organizācijas visā pasaulē. Uzbrucēji izmanto pielāgotu rīku Voldemort, kas paredzēts informācijas vākšanai un papildu ļaunprātīgas programmatūras izvietošanai.
Mērķa nozares ir apdrošināšana, kosmosa, transporta, akadēmiskās aprindas, finanses, tehnoloģijas, rūpniecība, veselības aprūpe, automobiļu rūpniecība, viesmīlība, enerģētika, valdība, plašsaziņas līdzekļi, ražošana, telekomunikācijas un sociālo pabalstu organizācijas. Lai gan kiberspiegošanas kampaņa nav bijusi saistīta ar konkrētu apdraudējuma dalībnieku, tiek lēsts, ka šajos uzbrukumos ir nosūtīti līdz pat 20 000 e-pastu.
Satura rādītājs
Sākotnējais kompromisa vektors, ko izmantoja uzbrucēji
Atklātie e-pasta ziņojumi, domājams, ir no ASV, Apvienotās Karalistes, Francijas, Vācijas, Itālijas, Indijas un Japānas nodokļu iestādēm, informējot saņēmējus par nodokļu deklarāciju atjauninājumiem un liekot viņiem noklikšķināt uz Google AMP kešatmiņas vietrāžiem URL, kas novirza tos pie starpnieka. galvenā lapa.
Šajā lapā tiek pārbaudīta User-Agent virkne, lai noteiktu, vai lietotāja operētājsistēma ir Windows. Ja tā ir, lapa izmanto meklēšanas ms: URI protokola apdarinātāju, lai parādītu Windows saīsnes (LNK) failu, kas slēpts kā PDF, izmantojot programmu Adobe Acrobat Reader, mēģinot maldināt upuri, lai tas to atvērtu.
Ja tiek izpildīts LNK fails, tas aktivizē programmu PowerShell, lai palaistu Python.exe no WebDAV koplietojuma (\library), kā argumentu nododot Python skriptu, kas atrodas citā koplietojumā (\resurss) tajā pašā serverī.
Kā Voldemorta ļaunprogrammatūra tiek izvietota apdraudētās sistēmās
Šī metode ļauj Python izpildīt skriptu, nesaglabājot datorā failus, un atkarības tiek tieši ielādētas no WebDAV koplietojuma.
Python skripts ir ieprogrammēts, lai apkopotu sistēmas informāciju un pārsūtītu to kā Base64 kodētu virkni uz domēnu, kuru kontrolē uzbrucēji. Pēc tam tas lietotājam parāda mānekļu PDF failu un lejupielādē ar paroli aizsargātu ZIP failu no OpenDrive.
ZIP arhīvā ir divi faili: likumīgs izpildāmais fails "CiscoCollabHost.exe", kas ir neaizsargāts pret DLL sānu ielādi, un ļaunprātīgs DLL fails "CiscoSparkLauncher.dll" (pazīstams kā Voldemort), kuru sānielādē izpildāmais fails.
Voldemorta ļaunprātīgas programmatūras draudu iespējas
Voldemort ir pielāgotas aizmugures durvis, kas rakstītas C valodā un ir aprīkotas ar iespējām apkopot informāciju un ielādēt nākamās pakāpes lietderīgās kravas, ļaunprātīgai programmatūrai izmantojot Google izklājlapas C2, datu izfiltrēšanai un operatoru komandu izpildei.
Pētnieki aprakstīja šo darbību kā tādu, kas ir saskaņota ar Advanced Persistent Threats (APT), bet tai piemīt kibernoziedzības iezīmes, jo tiek izmantotas e-noziedzības vidē populāras metodes.
Draudu dalībnieki ļaunprātīgi izmanto failu shēmas URI, lai piekļūtu ārējiem failu koplietošanas resursiem ļaunprātīgas programmatūras inscenēšanai, īpaši WebDAV un servera ziņojumu blokam (SMB). Tas tiek darīts, izmantojot shēmu “file://” un norādot uz attālo serveri, kas mitina draudīgo saturu.
Šī pieeja ir arvien vairāk izplatīta starp ļaunprātīgu programmatūru ģimenēm, kas darbojas kā sākotnējās piekļuves brokeri (IAB), piemēram, Latrodectus , DarkGate un XWor m.
Uzbrucēja mērķis joprojām nav zināms
Kaitīgā kampaņa tika uzskatīta par neparastu, kas liek domāt, ka apdraudējuma dalībnieki sākotnēji varēja mērķēt uz plašu potenciālo upuru loku, pirms sašaurināja savu uzmanību uz noteiktu grupu. Ir arī iespējams, ka uzbrucēji, kuriem, šķiet, ir dažāda līmeņa tehniskās zināšanas, vēlējās apdraudēt vairākas organizācijas.
Lai gan daudzi kampaņas aspekti atgādina tipiskas kibernoziedznieku darbības, mēs uzskatām, ka tas, iespējams, ir spiegošanas mēģinājums, kura mērķis ir sasniegt vēl nezināmus mērķus. Kampaņas uzlabotās un gudrās taktikas apvienojumā ar dažiem pamata paņēmieniem apgrūtina apdraudējuma dalībnieku spēju novērtēšanu un apgrūtina viņu galīgo mērķu noteikšanu ar lielu pārliecību.
