Voldemort skadelig programvare
Cybersikkerhetsforskere har identifisert en ny malware-kampanje som bruker Google Sheets som en Command-and-Control-plattform (C2).
Angrepskampanjen ble oppdaget av forskere i august 2024, og maskerer seg som skattemyndigheter fra Europa, Asia og USA for å målrette mot mer enn 70 organisasjoner over hele verden. Angriperne bruker et tilpasset verktøy kalt Voldemort, designet for å samle informasjon og distribuere ytterligere skadelig programvare.
De målrettede sektorene inkluderer forsikring, romfart, transport, akademia, finans, teknologi, industri, helsevesen, bilindustri, gjestfrihet, energi, myndigheter, media, produksjon, telekom og sosialhjelpsorganisasjoner. Selv om nettspionasjekampanjen ikke har vært knyttet til en spesifikk trusselaktør, anslås det at opptil 20 000 e-poster har blitt sendt i disse angrepene.
Innholdsfortegnelse
Innledende kompromissvektor utnyttet av angripere
De oppdagede e-postene hevdes å være fra skattemyndighetene i USA, Storbritannia, Frankrike, Tyskland, Italia, India og Japan, og informerer mottakere om oppdateringer av skatteregistreringene deres og ber dem klikke på Google AMP Cache URL-er som leder dem til en mellommann landingsside.
Denne siden sjekker User-Agent-strengen for å finne ut om brukerens operativsystem er Windows. Hvis det er det, bruker siden søke-ms: URI-protokollbehandleren for å presentere en Windows-snarvei (LNK)-fil forkledd som en PDF ved hjelp av Adobe Acrobat Reader i et forsøk på å lure offeret til å åpne den.
Hvis LNK-filen kjøres, utløser den PowerShell til å kjøre Python.exe fra en WebDAV-ressurs (\library), og sender et Python-skript som ligger på en annen deling (\ressurs) på samme server som et argument.
Hvordan Voldemort Malware distribueres på kompromitterte systemer
Denne metoden lar Python kjøre skriptet uten å lagre noen filer på datamaskinen, med avhengigheter som lastes direkte fra WebDAV-aksjen.
Python-skriptet er programmert til å samle inn systeminformasjon og overføre den som en Base64-kodet streng til et domene kontrollert av angriperne. Etterpå viser den en lokke-PDF til brukeren og laster ned en passordbeskyttet ZIP-fil fra OpenDrive.
ZIP-arkivet inneholder to filer: en legitim kjørbar, 'CiscoCollabHost.exe,' som er sårbar for DLL-sidelasting, og en ondsinnet DLL-fil, 'CiscoSparkLauncher.dll' (kjent som Voldemort), som sidelastes av den kjørbare filen.
Mulighetene til Voldemort Malware Threat
Voldemort er en tilpasset bakdør skrevet i C som kommer med muligheter for informasjonsinnhenting og lasting av nyttelaster i neste trinn, med skadelig programvare som bruker Google Sheets for C2, dataeksfiltrering og utføring av kommandoer fra operatørene.
Forskere beskrev aktiviteten som tilpasset Advanced Persistent Threats (APT), men som bærer trekk ved nettkriminalitet på grunn av bruken av teknikker som er populære i e-kriminalitet.
Trusselaktører misbruker filskjema-URIer for å få tilgang til eksterne fildelingsressurser for iscenesettelse av skadelig programvare, spesielt WebDAV og Server Message Block (SMB). Dette gjøres ved å bruke skjemaet 'fil://' og peke på en ekstern server som er vert for det truende innholdet.
Denne tilnærmingen har blitt stadig mer utbredt blant skadevarefamilier som fungerer som innledende tilgangsmeglere (IAB), som Latrodectus , DarkGate og XWor m.
Målet til angriperen forblir ukjent
Den skadelige kampanjen har blitt ansett som uvanlig, noe som tyder på at trusselaktørene i utgangspunktet kan ha rettet seg mot et bredt spekter av potensielle ofre før de begrenset fokuset til en utvalgt gruppe. Det er også mulig at angriperne, som ser ut til å ha varierende nivåer av teknisk ekspertise, hadde til hensikt å kompromittere flere organisasjoner.
Selv om mange aspekter ved kampanjen ligner typiske nettkriminelle aktiviteter, tror vi det sannsynligvis er en spionasjeinnsats rettet mot å nå hittil ukjente mål. Kampanjens blanding av avansert og smart taktikk, kombinert med noen grunnleggende teknikker, kompliserer vurderingen av trusselaktørens evner og gjør det utfordrende å bestemme deres endelige mål med høy selvtillit.
