Шкідливе програмне забезпечення Voldemort
Дослідники з кібербезпеки виявили нову кампанію зловмисного програмного забезпечення, яка використовує Google Таблиці як платформу командування та керування (C2).
Виявлена дослідниками в серпні 2024 року, кампанія нападу маскується під податкові органи з Європи, Азії та США, спрямована на понад 70 організацій у всьому світі. Зловмисники використовують спеціальний інструмент Voldemort, призначений для збору інформації та розгортання додаткових шкідливих програм.
Цільові сектори включають страхування, аерокосмічну галузь, транспорт, наукові кола, фінанси, технології, промисловість, охорону здоров’я, автомобільну індустрію, готельний бізнес, енергетику, уряд, медіа, виробництво, телекомунікації та соціальні організації. Хоча кампанія кібершпигунства не була пов’язана з конкретним суб’єктом загрози, за оцінками, під час цих атак було надіслано до 20 000 електронних листів.
Зміст
Початковий компрометований вектор, використаний зловмисниками
Виявлені електронні листи нібито надійшли від податкових органів США, Великобританії, Франції, Німеччини, Італії, Індії та Японії, інформуючи одержувачів про оновлення їхніх податкових декларацій і пропонуючи їм натиснути URL-адреси Google AMP Cache, які спрямовують їх до посередника. цільова сторінка.
Ця сторінка перевіряє рядок User-Agent, щоб визначити, чи є операційна система користувача Windows. Якщо це так, сторінка використовує обробник протоколу search-ms: URI, щоб представити файл ярлика Windows (LNK), замаскований під PDF за допомогою Adobe Acrobat Reader, щоб обманом змусити жертву відкрити його.
Якщо файл LNK виконується, PowerShell запускає Python.exe із спільного ресурсу WebDAV (\library), передаючи як аргумент сценарій Python, розташований на іншому спільному ресурсі (\resource) на тому самому сервері.
Як зловмисне програмне забезпечення Voldemort розгортається на скомпрометованих системах
Цей метод дозволяє Python виконувати сценарій, не зберігаючи жодних файлів на комп’ютері, при цьому залежності завантажуються безпосередньо з спільного ресурсу WebDAV.
Сценарій Python запрограмований на збір системної інформації та передачу її у вигляді рядка, закодованого за допомогою Base64, до домену, контрольованого зловмисниками. Після цього він відображає користувачеві приманний PDF-файл і завантажує захищений паролем ZIP-файл із OpenDrive.
ZIP-архів містить два файли: законний виконуваний файл CiscoCollabHost.exe, який вразливий до стороннього завантаження DLL, і шкідливий файл DLL CiscoSparkLauncher.dll (відомий як Voldemort), який завантажується виконуваним файлом.
Можливості загрози Voldemort Malware
Voldemort — це спеціальний бекдор, написаний мовою C, який має можливості для збору інформації та завантаження корисних даних наступного етапу, при цьому зловмисне програмне забезпечення використовує Google Sheets для C2, викрадає дані та виконує команди від операторів.
Дослідники описали цю діяльність як пов’язану з Advanced Persistent Threats (APT), але з ознаками кіберзлочинності через використання методів, популярних у сфері електронних злочинів.
Зловмисники зловживають URI схеми файлів для доступу до зовнішніх файлообмінних ресурсів для розміщення зловмисного програмного забезпечення, зокрема WebDAV і блоку повідомлень сервера (SMB). Це робиться за допомогою схеми 'file://' і вказівки на віддалений сервер, на якому розміщено загрозливий вміст.
Цей підхід стає все більш поширеним серед сімейств шкідливих програм, які діють як брокери початкового доступу (IAB), таких як Latrodectus , DarkGate і XWorm .
Мета зловмисника залишається невідомою
Шкідлива кампанія була визнана незвичайною, що свідчить про те, що суб’єкти загрози могли спочатку націлитися на широке коло потенційних жертв, перш ніж звузити свою увагу до обраної групи. Також можливо, що зловмисники, які мають різний рівень технічного досвіду, мали намір скомпрометувати кілька організацій.
Хоча багато аспектів кампанії нагадують типову діяльність кіберзлочинців, ми вважаємо, що це, ймовірно, шпигунство, спрямоване на досягнення поки що невідомих цілей. Поєднання передових і розумних тактик кампанії в поєднанні з деякими основними техніками ускладнює оцінку можливостей загрозливого суб’єкта та ускладнює впевнене визначення їхніх кінцевих цілей.
