佛地魔惡意軟體

惡意軟體, 後門年Mezo年

翻譯為：

網路安全研究人員發現了一種新的惡意軟體活動，該活動使用 Google Sheets 作為命令與控制 (C2) 平台。

研究人員在 2024 年 8 月發現，該攻擊活動偽裝成來自歐洲、亞洲和美國的稅務機關，針對全球 70 多個組織。攻擊者使用名為 Voldemort 的自訂工具，旨在收集資訊並部署其他惡意軟體。

目標產業包括保險、航空航太、交通運輸、學術界、金融、科技、工業、醫療保健、汽車、飯店、能源、政府、媒體、製造業、電信和社會福利組織。儘管網路間諜活動尚未與特定威脅行為者聯繫起來，但估計這些攻擊已發送多達 20,000 封電子郵件。

所發現的電子郵件聲稱來自美國、英國、法國、德國、義大利、印度和日本的稅務機關，通知收件人其稅務申報的更新，並提示他們點擊 Google AMP 快取 URL，將其引導至中介機構登陸頁面。

此頁面檢查使用者代理字串以確定使用者的作業系統是否為 Windows。如果是，該頁面會使用 search-ms: URI 協定處理程序來呈現一個使用 Adobe Acrobat Reader 偽裝成 PDF 的 Windows 捷徑 (LNK) 文件，試圖欺騙受害者開啟它。

如果執行 LNK 文件，它會觸發 PowerShell 從 WebDAV 共用 (\library) 執行 Python.exe，並將位於同一伺服器上另一個共用 (\resource) 上的 Python 腳本作為參數傳遞。

此方法允許 Python 執行腳本而無需將任何檔案儲存到計算機，並直接從 WebDAV 共用載入相依性。

Python 腳本被編程為收集系統資訊並將其作為 Base64 編碼字串傳輸到攻擊者控制的域。然後，它向使用者顯示一個誘餌 PDF，並從 OpenDrive 下載受密碼保護的 ZIP 檔案。

ZIP 檔案包含兩個檔案：合法的可執行檔「CiscoCollabHost.exe」（容易受到 DLL 側面載入的攻擊）和惡意 DLL 檔案「CiscoSparkLauncher.dll」（稱為 Voldemort），該檔案由可執行檔案側面載入。

Voldemort 是一個用 C 語言編寫的自訂後門，具有資訊收集和載入下一階段有效負載的功能，惡意軟體利用 Google Sheets 進行 C2、資料外洩和執行操作員的命令。

研究人員將該活動描述為與高級持續威脅 (APT) 一致，但由於使用了電子犯罪領域流行的技術，因此具有網路犯罪特徵。

威脅參與者濫用檔案架構 URI 來存取外部檔案共用資源以進行惡意軟體暫存，特別是 WebDAV 和伺服器訊息區塊 (SMB)。這是透過使用模式“file://”並指向託管威脅內容的遠端伺服器來完成的。

這種方法在充當初始存取代理程式 (IAB) 的惡意軟體家族中越來越普遍，例如Latrodectus 、 DarkGate和XWor m。

這種有害的活動被認為是不尋常的，這表明威脅行為者最初可能針對廣泛的潛在受害者，然後將其焦點縮小到選定的群體。攻擊者似乎擁有不同程度的技術專業知識，也有可能意圖危害多個組織。

儘管該活動的許多方面類似於典型的網路犯罪活動，但我們認為這很可能是旨在實現未知目標的間諜活動。該活動融合了先進而巧妙的策略，再加上一些基本技術，使對威脅行為者能力的評估變得複雜，並使確定其最終目標變得具有挑戰性。

搜索