Perisian Hasad Voldemort
Penyelidik keselamatan siber telah mengenal pasti kempen perisian hasad baharu yang menggunakan Helaian Google sebagai platform Perintah dan Kawalan (C2).
Dikesan oleh penyelidik pada Ogos 2024, kempen serangan itu menyamar sebagai pihak berkuasa cukai dari Eropah, Asia dan AS untuk menyasarkan lebih daripada 70 organisasi di seluruh dunia. Penyerang menggunakan alat tersuai yang dipanggil Voldemort, yang direka untuk mengumpul maklumat dan menggunakan perisian hasad tambahan.
Sektor yang disasarkan termasuk insurans, aeroangkasa, pengangkutan, akademik, kewangan, teknologi, perindustrian, penjagaan kesihatan, automotif, hospitaliti, tenaga, kerajaan, media, pembuatan, telekom dan organisasi faedah sosial. Walaupun kempen pengintipan siber tidak dikaitkan dengan pelakon ancaman tertentu, dianggarkan sehingga 20,000 e-mel telah dihantar dalam serangan ini.
Isi kandungan
Vektor Kompromi Permulaan Dieksploitasi oleh Penyerang
E-mel yang ditemui itu dikatakan daripada pihak berkuasa cukai di AS, UK, Perancis, Jerman, Itali, India dan Jepun, memaklumkan penerima tentang kemas kini pemfailan cukai mereka dan menggesa mereka untuk mengklik pada URL Cache AMP Google yang mengarahkan mereka kepada perantara halaman pendaratan.
Halaman ini menyemak rentetan Ejen Pengguna untuk menentukan sama ada sistem pengendalian pengguna ialah Windows. Jika ya, halaman tersebut menggunakan search-ms: pengendali protokol URI untuk membentangkan fail pintasan Windows (LNK) yang menyamar sebagai PDF menggunakan Adobe Acrobat Reader dalam percubaan untuk memperdaya mangsa supaya membukanya.
Jika fail LNK dilaksanakan, ia mencetuskan PowerShell untuk menjalankan Python.exe daripada bahagian WebDAV (\library), menghantar skrip Python yang terletak pada bahagian lain (\resource) pada pelayan yang sama sebagai hujah.
Cara Perisian Hasad Voldemort Digunakan pada Sistem Yang Terkompromi
Kaedah ini membenarkan Python untuk melaksanakan skrip tanpa menyimpan sebarang fail ke komputer, dengan kebergantungan dimuatkan terus daripada bahagian WebDAV.
Skrip Python diprogramkan untuk mengumpul maklumat sistem dan menghantarnya sebagai rentetan berkod Base64 ke domain yang dikawal oleh penyerang. Selepas itu, ia memaparkan PDF tipuan kepada pengguna dan memuat turun fail ZIP yang dilindungi kata laluan daripada OpenDrive.
Arkib ZIP mengandungi dua fail: boleh laku yang sah, 'CiscoCollabHost.exe,' yang terdedah kepada pemuatan sisi DLL dan fail DLL berniat jahat, 'CiscoSparkLauncher.dll' (dikenali sebagai Voldemort), yang dimuatkan sisi oleh boleh laku.
Keupayaan Ancaman Malware Voldemort
Voldemort ialah pintu belakang tersuai yang ditulis dalam C yang dilengkapi dengan keupayaan untuk mengumpul maklumat dan memuatkan muatan peringkat seterusnya, dengan perisian hasad menggunakan Helaian Google untuk C2, pemerasan data dan melaksanakan arahan daripada pengendali.
Penyelidik menyifatkan aktiviti itu sejajar dengan Ancaman Berterusan Lanjutan (APT) tetapi membawa ciri jenayah siber disebabkan penggunaan teknik yang popular dalam landskap e-jenayah.
Aktor ancaman menyalahgunakan URI skema fail untuk mengakses sumber perkongsian fail luaran untuk pementasan perisian hasad, khususnya WebDAV dan Blok Mesej Pelayan (SMB). Ini dilakukan dengan menggunakan skema' file://' dan menunjuk ke pelayan jauh yang mengehoskan kandungan mengancam.
Pendekatan ini semakin berleluasa dalam kalangan keluarga perisian hasad yang bertindak sebagai broker akses awal (IAB), seperti Latrodectus , DarkGate dan XWor m.
Matlamat Penyerang Masih Tidak Diketahui
Kempen berbahaya itu telah dianggap luar biasa, menunjukkan bahawa pelaku ancaman mungkin pada mulanya menyasarkan pelbagai jenis mangsa sebelum mengecilkan tumpuan mereka kepada kumpulan terpilih. Ia juga mungkin bahawa penyerang, yang kelihatan memiliki tahap kepakaran teknikal yang berbeza-beza, bertujuan untuk menjejaskan berbilang organisasi.
Walaupun banyak aspek kempen menyerupai aktiviti penjenayah siber biasa, kami percaya ia berkemungkinan merupakan usaha pengintipan yang bertujuan untuk mencapai objektif yang belum diketahui. Gabungan taktik maju dan bijak kempen, digabungkan dengan beberapa teknik asas, merumitkan penilaian keupayaan aktor ancaman dan menjadikannya mencabar untuk menentukan matlamat akhir mereka dengan keyakinan tinggi.
