Malware i Voldemort
Studiuesit e sigurisë kibernetike kanë identifikuar një fushatë të re malware që përdor Google Sheets si një platformë Command-and-Control (C2).
Zbuluar nga studiuesit në gusht 2024, fushata e sulmit maskohet si autoritete tatimore nga Evropa, Azia dhe SHBA për të synuar më shumë se 70 organizata në mbarë botën. Sulmuesit përdorin një mjet personal të quajtur Voldemort, i krijuar për të mbledhur informacione dhe për të vendosur malware shtesë.
Sektorët e synuar përfshijnë sigurimet, hapësirën ajrore, transportin, akademinë, financën, teknologjinë, industrinë, kujdesin shëndetësor, automobilat, mikpritjen, energjinë, qeverinë, median, prodhimin, telekomin dhe organizatat e përfitimeve sociale. Megjithëse fushata e spiunazhit kibernetik nuk ka qenë e lidhur me një aktor specifik kërcënimi, vlerësohet se në këto sulme janë dërguar deri në 20,000 emaile.
Tabela e Përmbajtjes
Vektori fillestar i kompromisit i shfrytëzuar nga sulmuesit
Email-et e zbuluara pretendojnë të jenë nga autoritetet tatimore në SHBA, MB, Francë, Gjermani, Itali, Indi dhe Japoni, duke informuar marrësit për përditësimet e dosjeve të tyre tatimore dhe duke i nxitur ata të klikojnë në URL-të e memories së Google AMP që i drejtojnë te një ndërmjetës faqe e uljes.
Kjo faqe kontrollon vargun User-Agent për të përcaktuar nëse sistemi operativ i përdoruesit është Windows. Nëse është, faqja përdor kontrolluesin e protokollit search-ms: URI për të paraqitur një skedar të shkurtoreve të Windows (LNK) të maskuar si PDF duke përdorur Adobe Acrobat Reader në një përpjekje për të mashtruar viktimën për ta hapur atë.
Nëse skedari LNK ekzekutohet, ai aktivizon PowerShell për të ekzekutuar Python.exe nga një share WebDAV (\library), duke kaluar si argument një skript Python të vendosur në një tjetër share (\resource) në të njëjtin server.
Si vendoset malware i Voldemort në sisteme të komprometuara
Kjo metodë lejon Python të ekzekutojë skriptin pa ruajtur asnjë skedar në kompjuter, me varësitë që ngarkohen drejtpërdrejt nga ndarja WebDAV.
Skripti Python është programuar për të mbledhur informacione të sistemit dhe për ta transmetuar atë si një varg i koduar nga Base64 në një domen të kontrolluar nga sulmuesit. Më pas, ai i shfaq përdoruesit një skedar PDF të fshehtë dhe shkarkon një skedar ZIP të mbrojtur me fjalëkalim nga OpenDrive.
Arkivi ZIP përmban dy skedarë: një ekzekutues legjitim, 'CiscoCollabHost.exe', i cili është i cenueshëm ndaj ngarkimit anësor të DLL dhe një skedar DLL me qëllim të keq, 'CiscoSparkLauncher.dll' (i njohur si Voldemort), i cili ngarkohet anash nga ekzekutuesi.
Aftësitë e kërcënimit të malware të Voldemort
Voldemort është një backdoor i personalizuar i shkruar në C që vjen me aftësi për mbledhjen e informacionit dhe ngarkimin e ngarkesave të fazës tjetër, me malware që përdor Google Sheets për C2, ekfiltimin e të dhënave dhe ekzekutimin e komandave nga operatorët.
Studiuesit e përshkruan aktivitetin si të përafruar me Kërcënimet e Përparuara të Përhershme (APT), por mbartëse tipare të krimit kibernetik për shkak të përdorimit të teknikave të njohura në peizazhin e krimit elektronik.
Aktorët e kërcënimit abuzojnë me URI-të e skemave të skedarëve për të hyrë në burimet e jashtme të ndarjes së skedarëve për vendosjen e programeve keqdashëse, veçanërisht WebDAV dhe Blloku i mesazheve të serverit (SMB). Kjo bëhet duke përdorur skemën 'file://' dhe duke treguar drejt një serveri të largët që pret përmbajtjen kërcënuese.
Kjo qasje ka qenë gjithnjë e më e përhapur midis familjeve të malware që veprojnë si ndërmjetës të aksesit fillestar (IAB), si Latrodectus , DarkGate dhe XWor m.
Goli i sulmuesit mbetet i panjohur
Fushata e dëmshme është konsideruar e pazakontë, duke sugjeruar se aktorët e kërcënimit mund të kenë synuar fillimisht një gamë të gjerë viktimash të mundshme përpara se të ngushtojnë fokusin e tyre në një grup të zgjedhur. Është gjithashtu e mundur që sulmuesit, të cilët duket se posedojnë nivele të ndryshme të ekspertizës teknike, kanë synuar të komprometojnë organizata të shumta.
Megjithëse shumë aspekte të fushatës i ngjajnë aktiviteteve tipike kriminale kibernetike, ne besojmë se ka të ngjarë të jetë një përpjekje spiunazhi që synon arritjen e objektivave ende të panjohura. Përzierja e taktikave të përparuara dhe të zgjuara të fushatës, e kombinuar me disa teknika bazë, e ndërlikon vlerësimin e aftësive të aktorit të kërcënimit dhe e bën të vështirë përcaktimin e qëllimeve të tyre përfundimtare me besim të lartë.
