Malware Voldemort
Cercetătorii în domeniul securității cibernetice au identificat o nouă campanie de malware care folosește Google Sheets ca platformă de comandă și control (C2).
Detectată de cercetători în august 2024, campania de atac se preface ca autorități fiscale din Europa, Asia și SUA, vizând peste 70 de organizații din întreaga lume. Atacatorii folosesc un instrument personalizat numit Voldemort, conceput pentru a colecta informații și a implementa programe malware suplimentare.
Sectoarele vizate includ asigurări, industria aerospațială, transporturi, mediul academic, finanțe, tehnologie, industrie, asistență medicală, automobile, ospitalitate, energie, guvern, mass-media, producție, telecomunicații și organizații de beneficii sociale. Deși campania de spionaj cibernetic nu a fost legată de un anumit actor de amenințare, se estimează că au fost trimise până la 20.000 de e-mailuri în cadrul acestor atacuri.
Cuprins
Vector de compromis inițial exploatat de atacatori
E-mailurile descoperite se pretind să provină de la autoritățile fiscale din SUA, Marea Britanie, Franța, Germania, Italia, India și Japonia, informând destinatarii cu privire la actualizările declarațiilor lor fiscale și solicitându-i să facă clic pe adresele URL Google AMP Cache care îi direcționează către un intermediar. pagina de destinație.
Această pagină verifică șirul User-Agent pentru a determina dacă sistemul de operare al utilizatorului este Windows. Dacă este, pagina folosește handlerul de protocol search-ms: URI pentru a prezenta un fișier de comandă rapidă Windows (LNK) deghizat în PDF folosind Adobe Acrobat Reader, în încercarea de a înșela victima să-l deschidă.
Dacă fișierul LNK este executat, declanșează PowerShell să ruleze Python.exe dintr-o partajare WebDAV (\library), trecând un script Python situat pe o altă partajare (\resource) pe același server ca argument.
Cum este implementat malware-ul Voldemort pe sistemele compromise
Această metodă permite lui Python să execute scriptul fără a salva fișiere pe computer, dependențele fiind încărcate direct din partajarea WebDAV.
Scriptul Python este programat să colecteze informații despre sistem și să le transmită ca șir codificat Base64 către un domeniu controlat de atacatori. Ulterior, afișează utilizatorului un PDF momeală și descarcă un fișier ZIP protejat prin parolă de pe OpenDrive.
Arhiva ZIP conține două fișiere: un executabil legitim, „CiscoCollabHost.exe”, care este vulnerabil la încărcarea secundară a DLL, și un fișier DLL rău intenționat, „CiscoSparkLauncher.dll” (cunoscut sub numele de Voldemort), care este încărcat lateral de către executabil.
Capacitățile amenințării malware Voldemort
Voldemort este o ușă din spate personalizată scrisă în C, care vine cu capacități de colectare a informațiilor și încărcare a încărcăturilor utile din etapa următoare, programul malware utilizând Foi de calcul Google pentru C2, exfiltrarea datelor și executarea comenzilor de la operatori.
Cercetătorii au descris activitatea ca fiind aliniată la Amenințările persistente avansate (APT), dar având trăsături de criminalitate cibernetică datorită utilizării tehnicilor populare în peisajul criminalității electronice.
Actorii amenințărilor abuzează de URI-urile schemei de fișiere pentru a accesa resurse externe de partajare a fișierelor pentru instalarea programelor malware, în special WebDAV și Server Message Block (SMB). Acest lucru se face prin utilizarea schemei „fișier://” și indicând către un server la distanță care găzduiește conținutul amenințător.
Această abordare a fost din ce în ce mai răspândită în rândul familiilor de malware care acționează ca brokeri de acces inițial (IAB), cum ar fi Latrodectus , DarkGate și XWor m.
Scopul atacatorului rămâne necunoscut
Campania dăunătoare a fost considerată neobișnuită, sugerând că actorii amenințărilor ar fi putut să fi vizat inițial o gamă largă de victime potențiale înainte de a-și concentra atenția asupra unui grup selectat. De asemenea, este posibil ca atacatorii, care par să posede diferite niveluri de expertiză tehnică, să fi intenționat să compromită mai multe organizații.
Deși multe aspecte ale campaniei seamănă cu activități tipice infracționale cibernetice, credem că este probabil un efort de spionaj care vizează atingerea unor obiective încă necunoscute. Combinația campaniei de tactici avansate și inteligente, combinată cu câteva tehnici de bază, complică evaluarea capacităților actorului amenințării și face dificilă determinarea obiectivelor lor finale cu mare încredere.
