Zlonamerna programska oprema Voldemort
Raziskovalci kibernetske varnosti so odkrili novo kampanjo zlonamerne programske opreme, ki uporablja Google Preglednice kot platformo za ukazovanje in nadzor (C2).
Kampanja napada, ki so jo avgusta 2024 odkrili raziskovalci, se predstavlja za davčne organe iz Evrope, Azije in ZDA in cilja na več kot 70 organizacij po vsem svetu. Napadalci uporabljajo prilagojeno orodje, imenovano Voldemort, namenjeno zbiranju informacij in nameščanju dodatne zlonamerne programske opreme.
Ciljni sektorji vključujejo zavarovalništvo, vesoljski sektor, transport, akademske kroge, finance, tehnologijo, industrijo, zdravstvo, avtomobilizem, gostinstvo, energetiko, vlado, medije, proizvodnjo, telekomunikacije in socialne organizacije. Čeprav kampanja kibernetskega vohunjenja ni bila povezana z določenim akterjem grožnje, se ocenjuje, da je bilo v teh napadih poslanih do 20.000 e-poštnih sporočil.
Kazalo
Začetni vektor ogrožanja, ki ga izrabljajo napadalci
Odkrita e-poštna sporočila naj bi bila od davčnih organov v ZDA, Združenem kraljestvu, Franciji, Nemčiji, Italiji, Indiji in na Japonskem, prejemnike obveščajo o posodobitvah njihovih davčnih vlog in jih pozivajo, da kliknejo URL-je predpomnilnika Google AMP, ki jih usmerijo k posredniku. ciljna stran.
Ta stran preveri niz User-Agent, da ugotovi, ali je uporabnikov operacijski sistem Windows. Če je, stran uporablja orodje za obravnavo protokola search-ms: URI, da predstavi datoteko z bližnjico Windows (LNK), prikrito kot PDF z uporabo programa Adobe Acrobat Reader, da bi žrtev zavedla, da jo odpre.
Če se izvede datoteka LNK, sproži PowerShell, da zažene Python.exe iz skupne rabe WebDAV (\library), pri čemer kot argument posreduje skript Python, ki se nahaja na drugi skupni rabi (\resource) na istem strežniku.
Kako je zlonamerna programska oprema Voldemort nameščena v ogroženih sistemih
Ta metoda omogoča Pythonu, da izvede skript brez shranjevanja datotek v računalnik, pri čemer se odvisnosti neposredno naložijo iz skupne rabe WebDAV.
Skript Python je programiran za zbiranje informacij o sistemu in njihovo pošiljanje kot niz, kodiran z Base64, v domeno, ki jo nadzirajo napadalci. Nato uporabniku prikaže lažni PDF in prenese z geslom zaščiteno datoteko ZIP iz OpenDrive.
Arhiv ZIP vsebuje dve datoteki: zakonito izvršljivo datoteko, »CiscoCollabHost.exe«, ki je ranljiva za stransko nalaganje DLL, in zlonamerno datoteko DLL, »CiscoSparkLauncher.dll« (znano kot Voldemort), ki jo izvršljiva datoteka naloži stransko.
Zmogljivosti grožnje zlonamerne programske opreme Voldemort
Voldemort je stranska vrata po meri, napisana v C, ki ima zmožnosti za zbiranje informacij in nalaganje uporabnih vsebin naslednje stopnje, pri čemer zlonamerna programska oprema uporablja Google Preglednice za C2, izloča podatke in izvaja ukaze operaterjev.
Raziskovalci so dejavnost opisali kot usklajeno z naprednimi trajnimi grožnjami (APT), vendar ima značilnosti kibernetske kriminalitete zaradi uporabe tehnik, priljubljenih v krajini e-kriminala.
Akterji groženj zlorabljajo URI-je datotečne sheme za dostop do zunanjih virov za skupno rabo datotek za uprizarjanje zlonamerne programske opreme, zlasti WebDAV in Server Message Block (SMB). To storite tako, da uporabite shemo 'file://' in kažete na oddaljeni strežnik, ki gosti grozečo vsebino.
Ta pristop je vedno bolj razširjen med družinami zlonamerne programske opreme, ki delujejo kot posredniki za začetni dostop (IAB), kot so Latrodectus , DarkGate in XWorm .
Cilj napadalca ostaja neznan
Škodljivo kampanjo so ocenili za nenavadno, kar nakazuje, da so akterji groženj morda sprva ciljali na širok razpon potencialnih žrtev, preden so se osredotočili na izbrano skupino. Možno je tudi, da so napadalci, za katere se zdi, da imajo različne ravni tehničnega znanja, nameravali ogroziti več organizacij.
Čeprav mnogi vidiki kampanje spominjajo na tipične dejavnosti kibernetskega kriminala, verjamemo, da gre verjetno za vohunsko prizadevanje, katerega cilj je doseči še neznane cilje. Mešanica naprednih in pametnih taktik v kampanji v kombinaciji z nekaterimi osnovnimi tehnikami otežuje oceno zmogljivosti akterja grožnje in otežuje zanesljivo določanje njihovih končnih ciljev.
