Malware Voldemorta
Badacze zajmujący się cyberbezpieczeństwem zidentyfikowali nową kampanię złośliwego oprogramowania, która wykorzystuje Arkusze Google jako platformę dowodzenia i kontroli (C2).
Wykryta przez badaczy w sierpniu 2024 r. kampania ataku maskuje się jako organy podatkowe z Europy, Azji i USA, aby zaatakować ponad 70 organizacji na całym świecie. Atakujący używają niestandardowego narzędzia o nazwie Voldemort, zaprojektowanego do zbierania informacji i wdrażania dodatkowego złośliwego oprogramowania.
Docelowe sektory obejmują ubezpieczenia, lotnictwo, transport, środowisko akademickie, finanse, technologię, przemysł, opiekę zdrowotną, motoryzację, gościnność, energetykę, rząd, media, produkcję, telekomunikację i organizacje charytatywne. Chociaż kampania cybernetycznego szpiegostwa nie została powiązana z konkretnym podmiotem stanowiącym zagrożenie, szacuje się, że w tych atakach wysłano do 20 000 wiadomości e-mail.
Spis treści
Początkowy wektor zagrożenia wykorzystywany przez atakujących
Odkryte wiadomości e-mail rzekomo pochodzą od organów podatkowych z USA, Wielkiej Brytanii, Francji, Niemiec, Włoch, Indii i Japonii. Wiadomości te informują odbiorców o aktualizacjach ich zeznań podatkowych i zachęcają ich do kliknięcia adresów URL w usłudze Google AMP Cache, które kierują ich do pośredniej strony docelowej.
Ta strona sprawdza ciąg User-Agent, aby ustalić, czy systemem operacyjnym użytkownika jest Windows. Jeśli tak, strona używa programu obsługi protokołu search-ms: URI, aby przedstawić plik skrótu Windows (LNK) zamaskowany jako PDF przy użyciu programu Adobe Acrobat Reader w celu oszukania ofiary i nakłonienia jej do otwarcia go.
Jeśli plik LNK zostanie wykonany, program PowerShell uruchomi plik Python.exe z udziału WebDAV (\library), przekazując jako argument skrypt języka Python znajdujący się w innym udziale (\resource) na tym samym serwerze.
Jak oprogramowanie złośliwe Voldemort jest instalowane w zainfekowanych systemach
Metoda ta pozwala Pythonowi na wykonanie skryptu bez zapisywania plików na komputerze, a zależności są ładowane bezpośrednio z udziału WebDAV.
Skrypt Pythona jest zaprogramowany tak, aby zbierać informacje o systemie i przesyłać je jako ciąg zakodowany w Base64 do domeny kontrolowanej przez atakujących. Następnie wyświetla użytkownikowi plik PDF-a-pułapki i pobiera chroniony hasłem plik ZIP z OpenDrive.
Archiwum ZIP zawiera dwa pliki: prawidłowy plik wykonywalny „CiscoCollabHost.exe”, który jest podatny na boczne ładowanie bibliotek DLL, oraz złośliwy plik DLL „CiscoSparkLauncher.dll” (znany jako Voldemort), który jest ładowany razem z plikiem wykonywalnym.
Możliwości zagrożenia malware Voldemort
Voldemort to niestandardowe tylne wejście napisane w języku C, które umożliwia gromadzenie informacji i ładowanie ładunków następnej fazy. Złośliwe oprogramowanie wykorzystuje Arkusze Google do C2, eksfiltrację danych i wykonywanie poleceń operatorów.
Badacze opisali tę aktywność jako zgodną z zaawansowanymi trwałymi zagrożeniami (APT), ale noszącą cechy cyberprzestępczości ze względu na stosowanie technik popularnych w środowisku e-przestępczości.
Aktorzy zagrożeń nadużywają schematów plików URI, aby uzyskać dostęp do zewnętrznych zasobów udostępniania plików w celu przygotowania złośliwego oprogramowania, w szczególności WebDAV i Server Message Block (SMB). Odbywa się to za pomocą schematu 'file://' i wskazywania na zdalny serwer hostujący zagrażającą zawartość.
Podejście to staje się coraz bardziej powszechne wśród rodzin złośliwego oprogramowania działających jako brokerzy początkowego dostępu (IAB), takich jak Latrodectus , DarkGate i XWorm .
Cel atakującego pozostaje nieznany
Szkodliwa kampania została uznana za niezwykłą, co sugeruje, że aktorzy zagrożenia mogli początkowo obrać sobie za cel szeroki zakres potencjalnych ofiar, zanim zawęzili swoje zainteresowanie do wybranej grupy. Możliwe jest również, że atakujący, którzy wydają się posiadać różny poziom wiedzy technicznej, zamierzali naruszyć wiele organizacji.
Chociaż wiele aspektów kampanii przypomina typowe działania cyberprzestępców, uważamy, że jest to prawdopodobnie wysiłek szpiegowski mający na celu osiągnięcie nieznanych jeszcze celów. Mieszanka zaawansowanych i sprytnych taktyk kampanii, w połączeniu z kilkoma podstawowymi technikami, komplikuje ocenę możliwości aktora zagrożenia i utrudnia określenie jego ostatecznych celów z dużą pewnością.
