Voldemort Malware
Cybersäkerhetsforskare har identifierat en ny skadlig kampanj som använder Google Sheets som en Command-and-Control-plattform (C2).
Angreppskampanjen upptäcktes av forskare i augusti 2024 och maskerar sig som skattemyndigheter från Europa, Asien och USA för att rikta in sig på mer än 70 organisationer över hela världen. Angriparna använder ett anpassat verktyg som heter Voldemort, designat för att samla in information och distribuera ytterligare skadlig programvara.
De riktade sektorerna inkluderar försäkring, flyg, transport, akademi, finans, teknik, industri, hälsovård, fordon, gästfrihet, energi, myndigheter, media, tillverkning, telekom och sociala förmånsorganisationer. Även om cyberspionagekampanjen inte har kopplats till en specifik hotaktör, uppskattas det att upp till 20 000 mejl har skickats i dessa attacker.
Innehållsförteckning
Initial kompromissvektor som utnyttjas av angripare
De upptäckta e-postmeddelandena påstås komma från skattemyndigheter i USA, Storbritannien, Frankrike, Tyskland, Italien, Indien och Japan, som informerar mottagarna om uppdateringar av deras skatteanmälningar och uppmanar dem att klicka på webbadresser för Google AMP Cache som leder dem till en mellanhand målsida.
Den här sidan kontrollerar User-Agent-strängen för att avgöra om användarens operativsystem är Windows. Om den är det, använder sidan sök-ms: URI-protokollhanteraren för att presentera en Windows-genvägsfil (LNK) förklädd som en PDF med hjälp av Adobe Acrobat Reader i ett försök att lura offret att öppna den.
Om LNK-filen körs utlöser den PowerShell att köra Python.exe från en WebDAV-resurs (\library), och skickar ett Python-skript som finns på en annan resurs (\resource) på samma server som ett argument.
Hur Voldemort Malware distribueras på komprometterade system
Denna metod tillåter Python att köra skriptet utan att spara några filer på datorn, med beroenden som laddas direkt från WebDAV-resursen.
Python-skriptet är programmerat att samla in systeminformation och överföra den som en Base64-kodad sträng till en domän som kontrolleras av angriparna. Efteråt visar den en lockbete-PDF för användaren och laddar ner en lösenordsskyddad ZIP-fil från OpenDrive.
ZIP-arkivet innehåller två filer: en legitim körbar, 'CiscoCollabHost.exe,' som är sårbar för DLL-sidladdning, och en skadlig DLL-fil, 'CiscoSparkLauncher.dll' (känd som Voldemort), som sidladdas av den körbara filen.
Möjligheterna hos Voldemort Malware-hotet
Voldemort är en anpassad bakdörr skriven i C som kommer med möjligheter för informationsinsamling och laddning av nästa stegs nyttolaster, med skadlig programvara som använder Google Sheets för C2, dataexfiltrering och exekvering av kommandon från operatörerna.
Forskare beskrev aktiviteten som anpassad till Advanced Persistent Threats (APT) men bärande på cyberbrottslighet på grund av användningen av tekniker som är populära i e-brottslandskapet.
Hotaktörer missbrukar filschema-URI:er för att komma åt externa fildelningsresurser för iscensättning av skadlig programvara, särskilt WebDAV och Server Message Block (SMB). Detta görs genom att använda schemat 'fil://' och peka på en fjärrserver som är värd för det hotande innehållet.
Detta tillvägagångssätt har blivit allt vanligare bland skadliga programfamiljer som fungerar som initial access brokers (IAB), som Latrodectus , DarkGate och XWor m.
Angriparens mål förblir okänt
Den skadliga kampanjen har ansetts vara ovanlig, vilket tyder på att hotaktörerna initialt kan ha riktat sig mot ett brett spektrum av potentiella offer innan de begränsat sitt fokus till en utvald grupp. Det är också möjligt att angriparna, som verkar ha olika nivåer av teknisk expertis, hade för avsikt att äventyra flera organisationer.
Även om många aspekter av kampanjen liknar typiska cyberkriminella aktiviteter, tror vi att det sannolikt är en spionageinsats som syftar till att uppnå ännu okända mål. Kampanjens blandning av avancerad och smart taktik, i kombination med några grundläggande tekniker, komplicerar bedömningen av hotaktörens förmågor och gör det utmanande att bestämma deras slutmål med stort självförtroende.
