Voldemort Kötü Amaçlı Yazılım
Siber güvenlik araştırmacıları, Google E-Tablolar'ı Komuta ve Kontrol (C2) platformu olarak kullanan yeni bir kötü amaçlı yazılım kampanyası tespit etti.
Ağustos 2024'te araştırmacılar tarafından tespit edilen saldırı kampanyası, dünya çapında 70'ten fazla kuruluşu hedef almak için Avrupa, Asya ve ABD'den vergi makamları gibi davranıyor. Saldırganlar, bilgi toplamak ve ek kötü amaçlı yazılım dağıtmak için tasarlanmış Voldemort adlı özel bir araç kullanıyor.
Hedeflenen sektörler arasında sigorta, havacılık, ulaştırma, akademi, finans, teknoloji, endüstriyel, sağlık, otomotiv, konaklama, enerji, hükümet, medya, üretim, telekom ve sosyal yardım kuruluşları yer alıyor. Siber casusluk kampanyası belirli bir tehdit aktörüne bağlanmamış olsa da, bu saldırılarda 20.000'e kadar e-postanın gönderildiği tahmin ediliyor.
İçindekiler
Saldırganlar Tarafından İstismar Edilen İlk Uzlaşma Vektörü
Keşfedilen e-postaların ABD, İngiltere, Fransa, Almanya, İtalya, Hindistan ve Japonya'daki vergi makamlarından geldiği ve alıcılara vergi dosyalarındaki güncellemeler hakkında bilgi verdiği ve onları aracı açılış sayfasına yönlendiren Google AMP Önbellek URL'lerine tıklamaya yönlendirdiği iddia ediliyor.
Bu sayfa, kullanıcının işletim sisteminin Windows olup olmadığını belirlemek için User-Agent dizesini kontrol eder. Eğer öyleyse, sayfa search-ms: URI protokol işleyicisini kullanarak kurbanı açmaya kandırmak amacıyla Adobe Acrobat Reader kullanarak PDF olarak gizlenmiş bir Windows kısayolu (LNK) dosyası sunar.
LNK dosyası yürütülürse, PowerShell'in Python.exe'yi bir WebDAV paylaşımından (\library) çalıştırmasını tetikler ve aynı sunucudaki başka bir paylaşımda (\kaynak) bulunan bir Python betiğini bağımsız değişken olarak geçirir.
Voldemort Kötü Amaçlı Yazılımı Tehlikeye Atılmış Sistemlere Nasıl Yerleştirilir
Bu yöntem, Python'un herhangi bir dosyayı bilgisayara kaydetmeden, bağımlılıkların doğrudan WebDAV paylaşımından yüklenmesiyle betiği yürütmesine olanak tanır.
Python betiği sistem bilgilerini toplayıp bunları Base64 kodlu bir dize olarak saldırganların kontrol ettiği bir etki alanına iletmek üzere programlanmıştır. Daha sonra kullanıcıya bir sahte PDF görüntüler ve OpenDrive'dan parola korumalı bir ZIP dosyası indirir.
ZIP arşivi iki dosya içeriyor: DLL yan yüklemesine karşı savunmasız olan meşru bir yürütülebilir dosya olan 'CiscoCollabHost.exe' ve yürütülebilir dosya tarafından yan yüklenen kötü amaçlı bir DLL dosyası olan 'CiscoSparkLauncher.dll' (Voldemort olarak bilinir).
Voldemort Kötü Amaçlı Yazılım Tehditinin Yetenekleri
Voldemort, C dilinde yazılmış, bilgi toplama ve sonraki aşama yüklerini yükleme yeteneklerine sahip özel bir arka kapıdır; kötü amaçlı yazılım, C2 için Google E-Tablolar'ı kullanır, veri sızdırır ve operatörlerden komutlar yürütür.
Araştırmacılar, faaliyetin Gelişmiş Sürekli Tehditler (APT) ile uyumlu olduğunu ancak e-suç alanında popüler olan tekniklerin kullanılması nedeniyle siber suç özellikleri taşıdığını belirtti.
Tehdit aktörleri, kötü amaçlı yazılım hazırlama için harici dosya paylaşım kaynaklarına, özellikle WebDAV ve Sunucu İleti Bloğu'na (SMB) erişmek amacıyla dosya şeması URI'lerini kötüye kullanır. Bu, 'file://' şemasını kullanarak ve tehdit edici içeriği barındıran uzak bir sunucuya işaret ederek yapılır.
Bu yaklaşım, Latrodectus , DarkGate ve XWorm gibi ilk erişim aracıları (IAB) olarak hareket eden kötü amaçlı yazılım aileleri arasında giderek daha yaygın hale geliyor.
Saldırganın Amacı Bilinmiyor
Zararlı kampanya alışılmadık olarak değerlendirildi, bu da tehdit aktörlerinin başlangıçta odaklarını belirli bir gruba daraltmadan önce geniş bir potansiyel kurban yelpazesini hedef almış olabileceğini düşündürüyor. Ayrıca, farklı teknik uzmanlık seviyelerine sahip görünen saldırganların birden fazla kuruluşu tehlikeye atmayı amaçlamış olması da mümkün.
Kampanyanın birçok yönü tipik siber suç faaliyetlerine benzese de, henüz bilinmeyen hedeflere ulaşmayı amaçlayan bir casusluk çabası olduğuna inanıyoruz. Kampanyanın gelişmiş ve akıllı taktiklerinin bazı temel tekniklerle bir araya gelmesi, tehdit aktörünün yeteneklerinin değerlendirilmesini karmaşıklaştırıyor ve nihai hedeflerini yüksek bir güvenle belirlemeyi zorlaştırıyor.
