มัลแวร์โวลเดอมอร์ท
นักวิจัยด้านความปลอดภัยทางไซเบอร์ระบุแคมเปญมัลแวร์ใหม่ที่ใช้ Google Sheets เป็นแพลตฟอร์มการสั่งการและควบคุม (C2)
นักวิจัยตรวจพบแคมเปญโจมตีในเดือนสิงหาคม 2024 โดยแอบอ้างว่าเป็นหน่วยงานด้านภาษีจากยุโรป เอเชีย และสหรัฐอเมริกา เพื่อโจมตีองค์กรมากกว่า 70 แห่งทั่วโลก ผู้โจมตีใช้เครื่องมือพิเศษที่เรียกว่า Voldemort ซึ่งออกแบบมาเพื่อรวบรวมข้อมูลและเผยแพร่มัลแวร์เพิ่มเติม
ภาคส่วนเป้าหมาย ได้แก่ การประกันภัย การบินและอวกาศ การขนส่ง สถาบันการศึกษา การเงิน เทคโนโลยี อุตสาหกรรม การดูแลสุขภาพ ยานยนต์ การบริการ พลังงาน รัฐบาล สื่อมวลชน การผลิต โทรคมนาคม และองค์กรที่ให้ประโยชน์ทางสังคม แม้ว่าแคมเปญการจารกรรมทางไซเบอร์จะไม่เชื่อมโยงกับผู้ก่อภัยคุกคามรายใดรายหนึ่งโดยเฉพาะ แต่คาดว่ามีการส่งอีเมลมากถึง 20,000 ฉบับในการโจมตีเหล่านี้
สารบัญ
เวกเตอร์การประนีประนอมเบื้องต้นที่ถูกใช้ประโยชน์โดยผู้โจมตี
อีเมลที่ค้นพบอ้างว่ามาจากหน่วยงานด้านภาษีในสหรัฐอเมริกา สหราชอาณาจักร ฝรั่งเศส เยอรมนี อิตาลี อินเดีย และญี่ปุ่น ซึ่งแจ้งให้ผู้รับทราบเกี่ยวกับการอัปเดตการยื่นภาษีของตน และแจ้งให้พวกเขาคลิกที่ URL ของ Google AMP Cache ที่นำพวกเขาไปยังหน้าปลายทางตัวกลาง
หน้านี้ตรวจสอบสตริง User-Agent เพื่อระบุว่าระบบปฏิบัติการของผู้ใช้เป็น Windows หรือไม่ หากใช่ หน้านี้จะใช้ตัวจัดการโปรโตคอล URI ของ search-ms: เพื่อแสดงไฟล์ทางลัดของ Windows (LNK) ที่ปลอมตัวเป็น PDF โดยใช้ Adobe Acrobat Reader เพื่อพยายามหลอกล่อเหยื่อให้เปิดไฟล์ดังกล่าว
หากดำเนินการไฟล์ LNK ระบบจะสั่งให้ PowerShell เรียกใช้ Python.exe จากการแชร์ WebDAV (\library) โดยส่งสคริปต์ Python ที่อยู่บนการแชร์อื่น (\resource) บนเซิร์ฟเวอร์เดียวกันเป็นอาร์กิวเมนต์
มัลแวร์โวลเดอมอร์ทถูกนำไปใช้งานบนระบบที่ถูกบุกรุกอย่างไร
วิธีนี้จะช่วยให้ Python สามารถเรียกใช้สคริปต์ได้โดยไม่ต้องบันทึกไฟล์ใดๆ ลงในคอมพิวเตอร์ และโหลดส่วนที่ต้องพึ่งพาโดยตรงจากการแชร์ WebDAV
สคริปต์ Python ถูกเขียนโปรแกรมให้รวบรวมข้อมูลระบบและส่งข้อมูลดังกล่าวในรูปแบบสตริงที่เข้ารหัสด้วย Base64 ไปยังโดเมนที่ผู้โจมตีควบคุมอยู่ จากนั้นจะแสดง PDF ปลอมให้ผู้ใช้ดูและดาวน์โหลดไฟล์ ZIP ที่ป้องกันด้วยรหัสผ่านจาก OpenDrive
ไฟล์เก็บถาวร ZIP มีไฟล์สองไฟล์ ได้แก่ ไฟล์ปฏิบัติการถูกกฎหมายชื่อ 'CiscoCollabHost.exe' ซึ่งมีช่องโหว่ในการโหลด DLL จากแหล่งภายนอก และไฟล์ DLL ที่เป็นอันตรายชื่อ 'CiscoSparkLauncher.dll' (รู้จักในชื่อ Voldemort) ซึ่งถูกโหลดจากแหล่งภายนอกโดยไฟล์ปฏิบัติการดังกล่าว
ความสามารถของภัยคุกคามจากมัลแวร์โวลเดอมอร์ท
Voldemort คือแบ็คดอร์แบบกำหนดเองที่เขียนด้วย C ที่มีความสามารถในการรวบรวมข้อมูลและโหลดเพย์โหลดขั้นถัดไป โดยมัลแวร์จะใช้ Google Sheets สำหรับ C2, การขโมยข้อมูล และการดำเนินการคำสั่งจากผู้ปฏิบัติงาน
นักวิจัยอธิบายว่ากิจกรรมดังกล่าวสอดคล้องกับภัยคุกคามขั้นสูงที่มีความต่อเนื่อง (APT) แต่มีลักษณะของการก่ออาชญากรรมทางไซเบอร์ เนื่องมาจากการใช้เทคนิคที่ได้รับความนิยมในแวดวงอาชญากรรมทางอิเล็กทรอนิกส์
ผู้ก่อภัยคุกคามใช้ URI ของรูปแบบไฟล์ในทางที่ผิดเพื่อเข้าถึงแหล่งข้อมูลการแชร์ไฟล์ภายนอกสำหรับการจัดเตรียมมัลแวร์โดยเฉพาะ WebDAV และ Server Message Block (SMB) ซึ่งทำได้โดยใช้รูปแบบ 'file://' และชี้ไปยังเซิร์ฟเวอร์ระยะไกลที่โฮสต์เนื้อหาที่คุกคาม
แนวทางนี้แพร่หลายมากขึ้นในกลุ่มมัลแวร์ที่ทำหน้าที่เป็นโบรกเกอร์การเข้าถึงเริ่มต้น (IAB) เช่น Latrodectus , DarkGate และ XWor m.
เป้าหมายของผู้โจมตียังคงไม่ทราบแน่ชัด
แคมเปญที่เป็นอันตรายนี้ถูกมองว่าผิดปกติ โดยแสดงให้เห็นว่าผู้ก่อภัยคุกคามอาจตั้งเป้าไปที่เหยื่อที่มีศักยภาพจำนวนมากก่อนจะจำกัดขอบเขตเป้าหมายไปที่กลุ่มเฉพาะกลุ่ม นอกจากนี้ ยังเป็นไปได้ว่าผู้โจมตีซึ่งดูเหมือนจะมีความเชี่ยวชาญด้านเทคนิคในระดับต่างๆ กัน ตั้งใจที่จะโจมตีองค์กรหลายแห่ง
แม้ว่าหลายแง่มุมของแคมเปญนี้จะคล้ายกับกิจกรรมทางไซเบอร์ทั่วไป แต่เราเชื่อว่าน่าจะเป็นความพยายามในการจารกรรมเพื่อบรรลุเป้าหมายที่ยังไม่ทราบแน่ชัด การผสมผสานระหว่างกลยุทธ์ขั้นสูงและชาญฉลาดของแคมเปญนี้ ร่วมกับเทคนิคพื้นฐานบางอย่าง ทำให้การประเมินความสามารถของผู้ก่อภัยคุกคามมีความซับซ้อน และทำให้การกำหนดเป้าหมายสูงสุดด้วยความมั่นใจสูงเป็นเรื่องท้าทาย
