Вредоносное ПО Волдеморта
Исследователи кибербезопасности выявили новую вредоносную кампанию, которая использует Google Таблицы в качестве платформы управления и контроля (C2).
Обнаруженная исследователями в августе 2024 года, кампания по атакам маскируется под налоговые органы Европы, Азии и США, чтобы атаковать более 70 организаций по всему миру. Злоумышленники используют специальный инструмент под названием Voldemort, предназначенный для сбора информации и развертывания дополнительных вредоносных программ.
Целевые секторы включают страхование, аэрокосмическую промышленность, транспорт, академию, финансы, технологии, промышленность, здравоохранение, автомобилестроение, гостиничный бизнес, энергетику, правительство, СМИ, производство, телекоммуникации и организации социального обеспечения. Хотя кампания кибершпионажа не была связана с конкретным субъектом угрозы, по оценкам, в ходе этих атак было отправлено до 20 000 электронных писем.
Оглавление
Первоначальный вектор компрометации, используемый злоумышленниками
Обнаруженные электронные письма предположительно отправлены налоговыми органами США, Великобритании, Франции, Германии, Италии, Индии и Японии. Они информируют получателей об обновлениях в их налоговых декларациях и побуждают их нажимать на URL-адреса кэша Google AMP, которые перенаправляют их на промежуточную целевую страницу.
Эта страница проверяет строку User-Agent, чтобы определить, является ли операционная система пользователя Windows. Если это так, страница использует обработчик протокола URI search-ms: для представления файла ярлыка Windows (LNK), замаскированного под PDF с помощью Adobe Acrobat Reader, в попытке обмануть жертву и заставить ее открыть его.
Если файл LNK выполняется, он активирует PowerShell для запуска Python.exe из общего ресурса WebDAV (\library), передавая в качестве аргумента скрипт Python, расположенный в другом общем ресурсе (\resource) на том же сервере.
Как вредоносное ПО Voldemort внедряется на скомпрометированные системы
Этот метод позволяет Python выполнять скрипт без сохранения каких-либо файлов на компьютере, при этом зависимости загружаются напрямую из общего ресурса WebDAV.
Скрипт Python запрограммирован на сбор системной информации и передачу ее в виде строки в кодировке Base64 на домен, контролируемый злоумышленниками. После этого он отображает пользователю поддельный PDF-файл и загружает защищенный паролем ZIP-файл из OpenDrive.
ZIP-архив содержит два файла: легитимный исполняемый файл «CiscoCollabHost.exe», который уязвим для загрузки DLL-библиотеки, и вредоносный DLL-файл «CiscoSparkLauncher.dll» (известный как Voldemort), который загружается исполняемым файлом.
Возможности вредоносной угрозы Voldemort
Voldemort — это специальный бэкдор, написанный на языке C, который обладает возможностями сбора информации и загрузки полезных нагрузок следующего этапа, при этом вредоносная программа использует Google Таблицы для C2, извлечения данных и выполнения команд операторов.
Исследователи описали эту деятельность как соответствующую современным постоянным угрозам (APT), но несущую в себе черты киберпреступности из-за использования методов, популярных в сфере электронной преступности.
Злоумышленники злоупотребляют URI-адресами схем файлов для доступа к внешним ресурсам обмена файлами для размещения вредоносного ПО, в частности WebDAV и Server Message Block (SMB). Это делается с помощью схемы «file://» и указания на удаленный сервер, на котором размещено угрожающее содержимое.
Такой подход становится все более распространенным среди семейств вредоносных программ, которые действуют как посредники первоначального доступа (IAB), таких как Latrodectus , DarkGate и XWor m.
Цель нападавшего остается неизвестной
Вредоносная кампания была признана необычной, что предполагает, что субъекты угрозы могли изначально нацелиться на широкий круг потенциальных жертв, прежде чем сузить свое внимание до избранной группы. Также возможно, что злоумышленники, которые, по-видимому, обладают различным уровнем технических знаний, намеревались скомпрометировать несколько организаций.
Хотя многие аспекты кампании напоминают типичную деятельность киберпреступников, мы считаем, что это, скорее всего, шпионская деятельность, направленная на достижение пока неизвестных целей. Сочетание передовых и умных тактик кампании в сочетании с некоторыми базовыми приемами усложняет оценку возможностей субъекта угрозы и затрудняет определение его конечных целей с высокой степенью уверенности.
