Voldemort-malware
Cybersecurityonderzoekers hebben een nieuwe malwarecampagne geïdentificeerd die Google Sheets gebruikt als Command-and-Control (C2)-platform.
De aanvalscampagne werd in augustus 2024 ontdekt door onderzoekers en doet zich voor als belastingautoriteiten uit Europa, Azië en de VS om meer dan 70 organisaties wereldwijd aan te vallen. De aanvallers gebruiken een aangepaste tool genaamd Voldemort, ontworpen om informatie te verzamelen en extra malware te implementeren.
De beoogde sectoren zijn onder meer verzekeringen, lucht- en ruimtevaart, transport, de academische wereld, financiën, technologie, industrie, gezondheidszorg, automobiel, horeca, energie, overheid, media, productie, telecom en maatschappelijke organisaties. Hoewel de cyberespionagecampagne niet aan een specifieke dreigingsactor is gekoppeld, wordt geschat dat er bij deze aanvallen tot wel 20.000 e-mails zijn verzonden.
Inhoudsopgave
Initiële Compromise Vector uitgebuit door aanvallers
De ontdekte e-mails lijken afkomstig te zijn van belastingdiensten in de VS, het VK, Frankrijk, Duitsland, Italië, India en Japan. Ze informeren ontvangers over updates van hun belastingaangiftes en sporen hen aan om op Google AMP Cache-URL's te klikken die hen naar een tussenliggende landingspagina leiden.
Deze pagina controleert de User-Agent string om te bepalen of het besturingssysteem van de gebruiker Windows is. Als dat zo is, gebruikt de pagina de search-ms: URI protocol handler om een Windows shortcut (LNK) bestand te presenteren vermomd als een PDF met behulp van Adobe Acrobat Reader in een poging om het slachtoffer te misleiden om het te openen.
Als het LNK-bestand wordt uitgevoerd, zorgt dit ervoor dat PowerShell Python.exe uitvoert vanaf een WebDAV-share (\library), waarbij een Python-script dat zich op een andere share (\resource) op dezelfde server bevindt, als argument wordt doorgegeven.
Hoe de Voldemort-malware wordt ingezet op gecompromitteerde systemen
Met deze methode kan Python het script uitvoeren zonder dat er bestanden op de computer worden opgeslagen. Afhankelijkheden worden rechtstreeks geladen vanuit de WebDAV-share.
Het Python-script is geprogrammeerd om systeeminformatie te verzamelen en deze als een Base64-gecodeerde string te verzenden naar een domein dat door de aanvallers wordt beheerd. Daarna toont het een decoy-PDF aan de gebruiker en downloadt het een met een wachtwoord beveiligd ZIP-bestand van OpenDrive.
Het ZIP-archief bevat twee bestanden: een legitiem uitvoerbaar bestand, 'CiscoCollabHost.exe', dat kwetsbaar is voor DLL-sideloading, en een schadelijk DLL-bestand, 'CiscoSparkLauncher.dll' (bekend als Voldemort), dat door het uitvoerbare bestand wordt gesideload.
Mogelijkheden van de Voldemort-malwarebedreiging
Voldemort is een op maat gemaakte backdoor die is geschreven in C en die de mogelijkheid biedt om informatie te verzamelen en volgende fase-payloads te laden. De malware maakt hierbij gebruik van Google Sheets voor C2, data-exfiltratie en het uitvoeren van opdrachten van de operators.
Onderzoekers beschrijven de activiteit als gerelateerd aan Advanced Persistent Threats (APT), maar met kenmerken van cybercriminaliteit vanwege het gebruik van technieken die populair zijn in de e-criminaliteitssector.
Dreigingsactoren misbruiken bestandsschema-URI's om toegang te krijgen tot externe bronnen voor bestandsdeling voor malware-staging, met name WebDAV en Server Message Block (SMB). Dit wordt gedaan door het schema 'file://' te gebruiken en te verwijzen naar een externe server die de bedreigende inhoud host.
Deze aanpak wordt steeds vaker toegepast bij malwarefamilies die fungeren als Initial Access Broker (IAB), zoals Latrodectus , DarkGate en XWor m.
Het doel van de aanvaller blijft onbekend
De schadelijke campagne wordt als ongebruikelijk beschouwd, wat suggereert dat de dreigingsactoren zich aanvankelijk op een breed scala aan potentiële slachtoffers richtten voordat ze hun focus beperkten tot een selecte groep. Het is ook mogelijk dat de aanvallers, die over verschillende niveaus van technische expertise lijken te beschikken, van plan waren om meerdere organisaties te compromitteren.
Hoewel veel aspecten van de campagne lijken op typische cybercriminele activiteiten, denken we dat het waarschijnlijk een spionagepoging is die gericht is op het bereiken van nog onbekende doelen. De mix van geavanceerde en slimme tactieken in de campagne, gecombineerd met enkele basistechnieken, compliceert de beoordeling van de capaciteiten van de dreigingsactor en maakt het lastig om hun uiteindelijke doelen met grote zekerheid te bepalen.
