Волдеморт Малваре
Истраживачи сајбер безбедности идентификовали су нову кампању злонамерног софтвера која користи Гоогле табеле као платформу за команду и контролу (Ц2).
Откривена од стране истраживача у августу 2024. године, кампања напада се маскира као пореске власти из Европе, Азије и САД и циља на више од 70 организација широм света. Нападачи користе прилагођени алат под називом Волдеморт, дизајниран за прикупљање информација и постављање додатног малвера.
Циљани сектори укључују осигурање, ваздухопловство, транспорт, академију, финансије, технологију, индустрију, здравствену заштиту, аутомобилску индустрију, угоститељство, енергетику, владу, медије, производњу, телекомуникације и организације социјалне заштите. Иако кампања сајбер шпијунаже није повезана са одређеним актером претњи, процењује се да је у овим нападима послато до 20.000 мејлова.
Преглед садржаја
Иницијални компромитни вектор који су искористили нападачи
Откривене имејлове наводно потичу од пореских власти у САД, УК, Француској, Немачкој, Италији, Индији и Јапану, обавештавајући примаоце о ажурирањима њихових пореских пријава и подстичући их да кликну на УРЛ-ове Гоогле АМП кеша који их усмеравају до посредника одредишну страницу.
Ова страница проверава стринг Усер-Агент да би утврдила да ли је оперативни систем корисника Виндовс. Ако јесте, страница користи обрађивач протокола сеарцх-мс: УРИ да прикаже датотеку Виндовс пречице (ЛНК) прерушену у ПДФ користећи Адобе Ацробат Реадер у покушају да превари жртву да је отвори.
Ако се ЛНК датотека изврши, она покреће ПоверСхелл да покрене Питхон.еке из ВебДАВ дељења (\либрари), прослеђујући Питхон скрипту која се налази на другом дељеном простору (\ресоурце) на истом серверу као аргумент.
Како се Волдеморт малвер примењује на компромитованим системима
Овај метод омогућава Питхон-у да изврши скрипту без чувања датотека на рачунару, при чему се зависности директно учитавају из ВебДАВ дељења.
Питхон скрипта је програмирана да прикупља системске информације и преноси их као Басе64 кодирани низ на домен који контролишу нападачи. Након тога, кориснику приказује лажни ПДФ и преузима ЗИП датотеку заштићену лозинком са ОпенДриве-а.
ЗИП архива садржи две датотеке: легитимну извршну, „ЦисцоЦоллабХост.еке“, која је рањива на бочно учитавање ДЛЛ-а, и злонамерну ДЛЛ датотеку, „ЦисцоСпаркЛаунцхер.длл“ (познату као Волдеморт), коју извршна датотека учитава са стране.
Могућности претње Волдеморт малвером
Волдеморт је прилагођена позадинска врата написана у Ц-у која долази са могућностима за прикупљање информација и учитавање корисних података следеће фазе, са малвером који користи Гоогле табеле за Ц2, ексфилтрацију података и извршавање команди од оператера.
Истраживачи су описали да је активност усклађена са напредним трајним претњама (АПТ), али има особине сајбер криминала захваљујући употреби техника популарних у окружењу е-криминала.
Актери претње злоупотребљавају УРИ-је шеме датотека да би приступили спољним ресурсима за дељење датотека за инсценирање злонамерног софтвера, посебно ВебДАВ и Сервер Мессаге Блоцк (СМБ). Ово се ради коришћењем шеме 'филе://' и упућивањем на удаљени сервер на коме се налази претећи садржај.
Овај приступ је све више распрострањен међу породицама малвера које делују као брокери за почетни приступ (ИАБ), као што су Латродецтус , ДаркГате и КСВор м.
Циљ нападача остаје непознат
Штетна кампања је оцењена необичном, што сугерише да су актери претњи можда у почетку циљали широк спектар потенцијалних жртава пре него што су свој фокус сузили на одабрану групу. Такође је могуће да су нападачи, за које се чини да поседују различите нивое техничке стручности, намеравали да угрозе више организација.
Иако многи аспекти кампање подсећају на типичне активности кибернетичког криминала, верујемо да је вероватно у питању шпијунски напор који има за циљ постизање још непознатих циљева. Комбинација напредних и паметних тактика кампање, у комбинацији са неким основним техникама, компликује процену способности актера претње и чини изазовним одређивање њихових крајњих циљева са високим поверењем.
