Voldemort malware
Výskumníci v oblasti kybernetickej bezpečnosti identifikovali novú malvérovú kampaň, ktorá používa Tabuľky Google ako platformu Command-and-Control (C2).
Útočná kampaň, ktorú výskumníci odhalili v auguste 2024, sa maskuje ako daňové úrady z Európy, Ázie a USA a zameriava sa na viac ako 70 organizácií po celom svete. Útočníci používajú vlastný nástroj s názvom Voldemort, ktorý je určený na zhromažďovanie informácií a nasadenie ďalšieho škodlivého softvéru.
Cieľové sektory zahŕňajú poisťovníctvo, letectvo, dopravu, akademickú obec, financie, technológie, priemysel, zdravotníctvo, automobilový priemysel, pohostinstvo, energetiku, vládu, médiá, výrobu, telekomunikácie a sociálne prospešné organizácie. Hoci kampaň kybernetickej špionáže nebola spojená s konkrétnym aktérom hrozby, odhaduje sa, že pri týchto útokoch bolo odoslaných až 20 000 e-mailov.
Obsah
Počiatočný kompromitný vektor využívaný útočníkmi
Objavené e-maily údajne pochádzajú od daňových úradov v USA, Spojenom kráľovstve, Francúzsku, Nemecku, Taliansku, Indii a Japonsku, ktoré príjemcov informujú o aktualizáciách ich daňových priznaní a vyzývajú ich, aby klikli na adresy URL vyrovnávacej pamäte Google AMP, ktoré ich nasmerujú na sprostredkovateľa. vstupná stránka.
Táto stránka kontroluje reťazec User-Agent, aby zistil, či operačný systém používateľa je Windows. Ak áno, stránka použije obslužný nástroj protokolu search-ms: URI na prezentáciu súboru skratky systému Windows (LNK) maskovaného ako PDF pomocou programu Adobe Acrobat Reader v snahe oklamať obeť, aby ho otvorila.
Ak sa spustí súbor LNK, spustí PowerShell, aby spustil Python.exe zo zdieľania WebDAV (\library), pričom ako argument odovzdá skript Python umiestnený na inom zdieľanom mieste (\resource) na rovnakom serveri.
Ako je malvér Voldemort nasadený na kompromitovaných systémoch
Táto metóda umožňuje Pythonu spustiť skript bez uloženia akýchkoľvek súborov do počítača, pričom závislosti sa načítavajú priamo zo zdieľania WebDAV.
Skript Python je naprogramovaný tak, aby zbieral systémové informácie a prenášal ich ako reťazec zakódovaný v Base64 do domény kontrolovanej útočníkmi. Potom používateľovi zobrazí návnadu PDF a stiahne súbor ZIP chránený heslom z OpenDrive.
Archív ZIP obsahuje dva súbory: legitímny spustiteľný súbor 'CiscoCollabHost.exe', ktorý je náchylný na sťahovanie DLL zboku, a škodlivý súbor DLL 'CiscoSparkLauncher.dll' (známy ako Voldemort), ktorý je stiahnutý spustiteľným súborom.
Schopnosti Voldemortovej malvérovej hrozby
Voldemort je vlastné zadné vrátka napísané v jazyku C, ktoré prichádza s funkciami na zhromažďovanie informácií a načítavanie dát v ďalšej fáze, pričom malvér využíva Tabuľky Google pre C2, exfiltráciu údajov a vykonávanie príkazov od operátorov.
Výskumníci opísali aktivitu ako spojenú s pokročilými perzistentnými hrozbami (APT), ale nesúce črty počítačovej kriminality vďaka použitiu techník populárnych v prostredí elektronickej kriminality.
Aktéri hrozieb zneužívajú identifikátory URI schémy súborov na prístup k externým zdrojom na zdieľanie súborov na prípravu malvéru, konkrétne WebDAV a Server Message Block (SMB). To sa vykonáva pomocou schémy 'file://' a ukazovaním na vzdialený server, ktorý hostí hrozivý obsah.
Tento prístup čoraz viac prevláda medzi rodinami malvéru, ktoré fungujú ako sprostredkovatelia počiatočného prístupu (IAB), ako sú Latrodectus , DarkGate a XWor m.
Cieľ útočníka zostáva neznámy
Škodlivá kampaň sa považovala za neobvyklú, čo naznačuje, že aktéri hrozieb sa mohli pôvodne zamerať na široké spektrum potenciálnych obetí a potom sa zamerali na vybranú skupinu. Je tiež možné, že útočníci, ktorí podľa všetkého disponujú rôznou úrovňou technických znalostí, mali v úmysle kompromitovať viaceré organizácie.
Hoci mnohé aspekty kampane pripomínajú typické kyberzločinecké aktivity, veríme, že ide pravdepodobne o špionážne úsilie zamerané na dosiahnutie zatiaľ neznámych cieľov. Kombinácia pokročilých a dômyselných taktík kampane v kombinácii s niektorými základnými technikami komplikuje hodnotenie schopností aktérov hrozby a sťažuje určenie ich konečných cieľov s vysokou istotou.
