Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại Phần mềm độc hại Voldemort

Phần mềm độc hại Voldemort

Đến năm Mezo năm Phần mềm độc hại, Cửa sau
Dịch sang:
Tiếng Việt Nam

Các nhà nghiên cứu an ninh mạng đã xác định một chiến dịch phần mềm độc hại mới sử dụng Google Trang tính làm nền tảng Chỉ huy và Kiểm soát (C2).

Được các nhà nghiên cứu phát hiện vào tháng 8 năm 2024, chiến dịch tấn công này ngụy trang thành các cơ quan thuế từ Châu Âu, Châu Á và Hoa Kỳ để nhắm mục tiêu vào hơn 70 tổ chức trên toàn thế giới. Những kẻ tấn công sử dụng một công cụ tùy chỉnh có tên là Voldemort, được thiết kế để thu thập thông tin và triển khai phần mềm độc hại bổ sung.

Các lĩnh vực mục tiêu bao gồm bảo hiểm, hàng không vũ trụ, giao thông vận tải, học viện, tài chính, công nghệ, công nghiệp, chăm sóc sức khỏe, ô tô, khách sạn, năng lượng, chính phủ, truyền thông, sản xuất, viễn thông và các tổ chức phúc lợi xã hội. Mặc dù chiến dịch gián điệp mạng không liên quan đến một tác nhân đe dọa cụ thể nào, nhưng ước tính có tới 20.000 email đã được gửi trong các cuộc tấn công này.

Véc tơ xâm phạm ban đầu được khai thác bởi những kẻ tấn công

Các email được phát hiện có vẻ như đến từ các cơ quan thuế ở Hoa Kỳ, Vương quốc Anh, Pháp, Đức, Ý, Ấn Độ và Nhật Bản, thông báo cho người nhận về các cập nhật trong hồ sơ khai thuế của họ và nhắc họ nhấp vào URL bộ nhớ đệm AMP của Google để chuyển hướng họ đến một trang đích trung gian.

Trang này kiểm tra chuỗi User-Agent để xác định xem hệ điều hành của người dùng có phải là Windows hay không. Nếu có, trang sẽ sử dụng trình xử lý giao thức search-ms: URI để hiển thị tệp phím tắt Windows (LNK) được ngụy trang thành PDF bằng Adobe Acrobat Reader nhằm đánh lừa nạn nhân mở tệp đó.

Nếu tệp LNK được thực thi, nó sẽ kích hoạt PowerShell chạy Python.exe từ một chia sẻ WebDAV (\library), truyền một tập lệnh Python nằm trên một chia sẻ khác (\resource) trên cùng một máy chủ làm đối số.

Phần mềm độc hại Voldemort được triển khai trên các hệ thống bị xâm phạm như thế nào

Phương pháp này cho phép Python thực thi tập lệnh mà không cần lưu bất kỳ tệp nào vào máy tính, các phần phụ thuộc được tải trực tiếp từ chia sẻ WebDAV.

Tập lệnh Python được lập trình để thu thập thông tin hệ thống và truyền thông tin đó dưới dạng chuỗi được mã hóa Base64 đến miền do kẻ tấn công kiểm soát. Sau đó, nó hiển thị tệp PDF giả cho người dùng và tải xuống tệp ZIP được bảo vệ bằng mật khẩu từ OpenDrive.

Tệp ZIP chứa hai tệp: một tệp thực thi hợp lệ, 'CiscoCollabHost.exe,' dễ bị tấn công bởi DLL sideloading và một tệp DLL độc hại, 'CiscoSparkLauncher.dll' (được gọi là Voldemort), được tải bởi tệp thực thi.

Khả năng của mối đe dọa phần mềm độc hại Voldemort

Voldemort là một backdoor tùy chỉnh được viết bằng ngôn ngữ C, có khả năng thu thập thông tin và tải các dữ liệu ở giai đoạn tiếp theo, trong đó phần mềm độc hại này sử dụng Google Trang tính để C2, đánh cắp dữ liệu và thực thi lệnh từ người điều hành.

Các nhà nghiên cứu mô tả hoạt động này có liên quan đến các mối đe dọa dai dẳng nâng cao (APT) nhưng mang đặc điểm của tội phạm mạng do sử dụng các kỹ thuật phổ biến trong bối cảnh tội phạm mạng.

Các tác nhân đe dọa lạm dụng URI lược đồ tệp để truy cập các tài nguyên chia sẻ tệp bên ngoài để dàn dựng phần mềm độc hại, cụ thể là WebDAV và Server Message Block (SMB). Điều này được thực hiện bằng cách sử dụng lược đồ 'file://' và trỏ đến máy chủ từ xa lưu trữ nội dung đe dọa.

Cách tiếp cận này ngày càng phổ biến trong các họ phần mềm độc hại hoạt động như các tác nhân môi giới truy cập ban đầu (IAB), chẳng hạn như Latrodectus , DarkGateXWorm .

Mục đích của kẻ tấn công vẫn chưa được biết

Chiến dịch có hại này được coi là bất thường, cho thấy rằng những kẻ đe dọa ban đầu có thể nhắm mục tiêu vào nhiều nạn nhân tiềm năng trước khi thu hẹp phạm vi tập trung vào một nhóm được chọn. Cũng có khả năng những kẻ tấn công, những kẻ có vẻ sở hữu nhiều cấp độ chuyên môn kỹ thuật khác nhau, có ý định xâm phạm nhiều tổ chức.

Mặc dù nhiều khía cạnh của chiến dịch này giống với các hoạt động tội phạm mạng thông thường, chúng tôi tin rằng đây có khả năng là một nỗ lực gián điệp nhằm đạt được các mục tiêu chưa được biết đến. Sự kết hợp giữa các chiến thuật tiên tiến và thông minh của chiến dịch, kết hợp với một số kỹ thuật cơ bản, làm phức tạp việc đánh giá năng lực của tác nhân đe dọa và khiến việc xác định mục tiêu cuối cùng của chúng với độ tin cậy cao trở nên khó khăn.

xu hướng

Styx Stealer

Kẻ trộm
Các nhà nghiên cứu an ninh mạng đã báo cáo về một cuộc tấn công mới được phát hiện, cực kỳ mạnh mẽ từ một tác nhân đe dọa đã biết. Phần mềm độc hại này, nhắm vào người dùng Windows, được thiết kế để đánh cắp nhiều loại dữ liệu, bao gồm cookie trình duyệt, thông tin xác thực bảo mật và tin nhắn tức thời. Mặc dù phần mềm độc hại cốt lõi đã được phát hiện trước đây, phiên bản mới nhất này đã được...

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Lừa đảo, Thư rác
37,924
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...

Cửa sổ bật lên 'Nếu bạn đủ 18 tuổi, hãy nhấn vào Cho...

Tin nhắn cảnh báo giả mạo
29,594
Cửa sổ bật lên 'Nếu bạn đủ 18 tuổi, hãy nhấn vào Cho phép' là một loại quảng cáo bật lên xuất hiện trên màn hình của người dùng khi duyệt internet. Những cửa sổ bật lên này có thể khá đáng báo động đối với người dùng khi chúng thúc giục họ nhấp vào nút "cho phép" để tiếp tục sử dụng trang web mà họ hiện đang truy cập. Các cửa sổ bật lên này được liên kết với các chương trình không mong...
Đang tải...