Voldemort Malware
Natukoy ng mga mananaliksik sa cybersecurity ang isang bagong malware campaign na gumagamit ng Google Sheets bilang Command-and-Control (C2) na platform.
Natukoy ng mga mananaliksik noong Agosto 2024, ang kampanya ng pag-atake ay nagpapanggap bilang mga awtoridad sa buwis mula sa Europe, Asia, at US upang i-target ang higit sa 70 organisasyon sa buong mundo. Gumagamit ang mga umaatake ng custom na tool na tinatawag na Voldemort, na idinisenyo upang mangolekta ng impormasyon at mag-deploy ng karagdagang malware.
Kabilang sa mga target na sektor ang insurance, aerospace, transportasyon, akademya, pananalapi, teknolohiya, industriyal, pangangalagang pangkalusugan, automotive, hospitality, enerhiya, gobyerno, media, pagmamanupaktura, telecom at mga organisasyong benepisyong panlipunan. Bagama't hindi naiugnay ang kampanyang cyber espionage sa isang partikular na aktor ng pagbabanta, tinatayang hanggang 20,000 email ang naipadala sa mga pag-atakeng ito.
Talaan ng mga Nilalaman
Initial Compromise Vector na Pinagsasamantalahan ng mga Attacker
Ang mga natuklasang email ay sinasabing mula sa mga awtoridad sa buwis sa US, UK, France, Germany, Italy, India, at Japan, na nagpapaalam sa mga tatanggap ng mga update sa kanilang mga paghahain ng buwis at nag-uudyok sa kanila na mag-click sa mga URL ng Google AMP Cache na nagdidirekta sa kanila sa isang tagapamagitan landing page.
Sinusuri ng page na ito ang string ng User-Agent upang matukoy kung Windows ang operating system ng user. Kung oo, ginagamit ng page ang search-ms: URI protocol handler para magpakita ng Windows shortcut (LNK) file na nakatago bilang isang PDF gamit ang Adobe Acrobat Reader sa pagtatangkang linlangin ang biktima na buksan ito.
Kung ang LNK file ay naisakatuparan, pinalitaw nito ang PowerShell na patakbuhin ang Python.exe mula sa isang WebDAV share (\library), na nagpapasa ng script ng Python na matatagpuan sa isa pang bahagi (\resource) sa parehong server bilang isang argumento.
Paano Na-deploy ang Voldemort Malware sa Mga Nakompromisong System
Ang pamamaraang ito ay nagpapahintulot sa Python na isagawa ang script nang hindi nagse-save ng anumang mga file sa computer, na may mga dependency na direktang na-load mula sa bahagi ng WebDAV.
Ang script ng Python ay naka-program upang mangolekta ng impormasyon ng system at ipadala ito bilang isang Base64-encoded string sa isang domain na kinokontrol ng mga umaatake. Pagkatapos, nagpapakita ito ng decoy na PDF sa user at nagda-download ng ZIP file na protektado ng password mula sa OpenDrive.
Ang ZIP archive ay naglalaman ng dalawang file: isang lehitimong executable, 'CiscoCollabHost.exe,' na mahina sa pag-sideload ng DLL, at isang nakakahamak na DLL file, 'CiscoSparkLauncher.dll' (kilala bilang Voldemort), na na-sideload ng executable.
Mga Kakayahan ng Voldemort Malware Threat
Ang Voldemort ay isang custom na backdoor na nakasulat sa C na may mga kakayahan para sa pangangalap ng impormasyon at pag-load ng mga susunod na yugto ng mga payload, kasama ang malware na gumagamit ng Google Sheets para sa C2, data exfiltration at pagpapatupad ng mga utos mula sa mga operator.
Inilarawan ng mga mananaliksik ang aktibidad bilang nakahanay sa Advanced Persistent Threats (APT) ngunit nagtataglay ng mga katangian ng cybercrime dahil sa paggamit ng mga diskarteng sikat sa e-crime landscape.
Ang mga banta ng aktor ay inaabuso ang mga URI ng schema ng file upang ma-access ang mga panlabas na mapagkukunan ng pagbabahagi ng file para sa pagtatanghal ng malware, partikular ang WebDAV at Server Message Block (SMB). Ginagawa ito sa pamamagitan ng paggamit ng schema' file://' at pagturo sa isang malayuang server na nagho-host ng nagbabantang nilalaman.
Ang diskarte na ito ay lalong naging laganap sa mga pamilya ng malware na nagsisilbing mga initial access broker (IAB), gaya ng Latrodectus , DarkGate at XWor m.
Ang Layunin ng Attacker ay Nananatiling Hindi Alam
Ang mapaminsalang kampanya ay itinuring na hindi pangkaraniwan, na nagmumungkahi na ang mga aktor ng pagbabanta ay maaaring una nang nag-target ng malawak na hanay ng mga potensyal na biktima bago ang kanilang pagtuon sa isang piling grupo. Posible rin na ang mga umaatake, na mukhang nagtataglay ng iba't ibang antas ng teknikal na kadalubhasaan, ay naglalayon na ikompromiso ang maraming organisasyon.
Bagama't maraming aspeto ng kampanya ang kahawig ng mga tipikal na aktibidad ng cybercriminal, naniniwala kami na ito ay malamang na isang pagsisikap sa pag-espiya na naglalayong makamit ang mga hindi pa alam na layunin. Ang kumbinasyon ng mga advanced at matatalinong taktika ng kampanya, na sinamahan ng ilang mga pangunahing pamamaraan, ay nagpapalubha sa pagtatasa ng mga kakayahan ng aktor ng pagbabanta at ginagawa itong mapaghamong upang matukoy ang kanilang mga pangunahing layunin nang may mataas na kumpiyansa.
