伏地魔恶意软件

通过Mezo在恶意软件, 后门

翻译为：

网络安全研究人员发现了一项新的恶意软件活动，该活动使用 Google Sheets 作为命令和控制 (C2) 平台。

研究人员于 2024 年 8 月发现，该攻击活动伪装成欧洲、亚洲和美国的税务机关，针对全球 70 多个组织。攻击者使用名为 Voldemort 的自定义工具来收集信息并部署其他恶意软件。

目标行业包括保险、航空航天、交通运输、学术界、金融、技术、工业、医疗保健、汽车、酒店、能源、政府、媒体、制造业、电信和社会福利组织。尽管网络间谍活动尚未与特定威胁行为者联系起来，但据估计，这些攻击中发送了多达 20,000 封电子邮件。

发现的电子邮件声称来自美国、英国、法国、德国、意大利、印度和日本的税务机关，通知收件人其税务申报表的更新，并提示他们点击 Google AMP Cache URL，将他们引导到中间登录页面。

该页面会检查 User-Agent 字符串，以确定用户的操作系统是否为 Windows。如果是，该页面会使用 search-ms: URI 协议处理程序，使用 Adobe Acrobat Reader 呈现伪装成 PDF 的 Windows 快捷方式 (LNK) 文件，试图欺骗受害者打开它。

如果执行 LNK 文件，它会触发 PowerShell 从 WebDAV 共享（\library）运行 Python.exe，并将位于同一服务器上的另一个共享（\resource）上的 Python 脚本作为参数传递。

这种方法允许 Python 执行脚本而不将任何文件保存到计算机，依赖项直接从 WebDAV 共享加载。

该 Python 脚本被设计用来收集系统信息，并将其作为 Base64 编码字符串传输到攻击者控制的域。之后，它会向用户显示诱饵 PDF，并从 OpenDrive 下载受密码保护的 ZIP 文件。

该 ZIP 存档包含两个文件：一个合法的可执行文件“CiscoCollabHost.exe”，它容易受到 DLL 侧加载的攻击；以及一个恶意 DLL 文件“CiscoSparkLauncher.dll”（称为 Voldemort），它被可执行文件侧加载。

Voldemort 是一个用 C 语言编写的自定义后门，具有信息收集和加载下一阶段有效负载的功能，该恶意软件利用 Google Sheets 进行 C2、数据泄露并执行来自操作员的命令。

研究人员称，该活动与高级持续性威胁 (APT) 类似，但由于使用了电子犯罪领域流行的技术，因此具有网络犯罪的特征。

威胁者滥用文件架构 URI 来访问外部文件共享资源，以进行恶意软件部署，特别是 WebDAV 和服务器消息块 (SMB)。这是通过使用架构“file://”并指向托管威胁内容的远程服务器来实现的。

这种方法在充当初始访问代理 (IAB) 的恶意软件家族中越来越流行，例如Latrodectus 、 DarkGate和XWor m。

此次恶意活动被认为不同寻常，表明威胁行为者最初可能瞄准了广泛的潜在受害者，然后才将目标缩小到特定群体。攻击者似乎拥有不同程度的技术专长，他们也可能打算攻击多个组织。

尽管该活动的许多方面与典型的网络犯罪活动相似，但我们认为它很可能是一次间谍活动，旨在实现尚未知晓的目标。该活动融合了先进而巧妙的战术，并结合了一些基本技术，使对威胁行为者能力的评估变得复杂，并且很难高度自信地确定他们的最终目标。

搜索