O nouă campanie de malware se răspândește folosind o nouă backdoor numită „Voldemort” către organizații din întreaga lume, impersonând agenții fiscali din SUA, Europa și Asia.
Conform unui raport Proofpoint, campania a început pe 5 august 2024 și a distribuit peste 20.000 de e-mailuri către peste 70 de organizații țintite, ajungând la 6.000 într-o singură zi la vârful activității sale.
Peste jumătate din toate organizațiile vizate sunt din sectoarele asigurărilor, aero-spațial, transport și educație. Autorul amenințării din spatele acestei campanii este necunoscut, dar Proofpoint crede că cel mai probabil obiectiv este de a efectua spionaj cibernetic.
Atacul este similar cu ceea ce a descris Proofpoint la începutul lunii, dar implica un set de malware diferit în stadiul final.
Un nou raport Proofpoint spune că atacatorii creează e-mailuri de pescuit pentru a se potrivi cu locația unei organizații țintă pe baza informațiilor publice.
E-mailurile de pescuit impersonalizează autoritățile fiscale din țara organizației, afirmând că există informații fiscale actualizate și includ linkuri către documentele asociate.
Făcând clic pe link, destinatarii sunt direcționați către o pagină de aterizare găzduită pe InfinityFree, care folosește URL-uri Google AMP Cache pentru a redirecționa victima către o pagină cu un buton „Click pentru a vizualiza documentul”.
Când este apăsat butonul, pagina va verifica User Agent-ul browserului și, dacă este pentru Windows, va redirecționa ținta către un URI search-ms (Protocol de Căutare Windows) care indică către un URI tunelat TryCloudflare. Utilizatorii care nu folosesc Windows sunt redirecționați către un URL gol Google Drive care nu servește niciun conținut rău intenționat.
Dacă victima interacționează cu fișierul search-ms, Windows Explorer este declanșat pentru a afișa un fișier LNK sau ZIP mascate ca un PDF.
Utilizarea URI-ului search-ms a devenit populară în ultima vreme cu campaniile de pescuit, deoarece, chiar dacă acest fișier este găzduit pe un server extern WebDAV/SMB, este făcut să pară că rezidă local în folderul de Descărcări pentru a păcăli victima să-l deschidă.
Făcând acest lucru, se execută un script Python dintr-un alt server WebDAV fără a fi descărcat pe gazdă, care colectează informații de sistem pentru a profiliza victima. În același timp, un PDF de decoy este afișat pentru a oculta activitatea răuvoitoare.
Scriptul descarcă, de asemenea, un executabil Cisco WebEx legitim (CiscoCollabHost.exe) și o DLL răuvoitoare (CiscoSparkLauncher.dll) pentru a încărca Voldemort folosind încărcarea laterală a DLL-ului.
Voldemort este o backdoor bazată pe limbajul C care suportă o gamă largă de comenzi și acțiuni de gestionare a fișierelor, incluzând exfiltrarea, introducerea de noi încărcături în sistem și ștergerea fișierelor.
Lista de comenzi suportate este prezentată mai jos:
O caracteristică notabilă a lui Voldemort este că folosește Google Sheets ca server de comandă și control (C2), pinging pentru a obține noi comenzi de executat pe dispozitivul infectat și ca un depozit pentru datele furate.
Fiecare mașină infectată își scrie datele în celule specifice din Google Sheet, care pot fi designate cu identificatori unici precum UUID-uri, asigurând izolarea și gestionarea mai clară a sistemelor încălcate.
Voldemort folosește API-ul Google cu un ID client încorporat, secret și token de reîmprospătare pentru a interacționa cu Google Sheets, care sunt stocate în configurarea sa criptată.
Acestă abordare oferă malware-ului un canal C2 fiabil și foarte disponibil, și, de asemenea, reduce probabilitatea ca comunicarea în rețea să fie semnalată de către instrumentele de securitate. Deoarece Google Sheets este folosit în mod obișnuit în mediul de afaceri, face ca blocarea serviciului să fie impracticabilă.
În 2023, grupul chinez de hacking APT41 a fost văzut anterior folosind Google Sheets ca server de comandă și control prin utilizarea toolkit-ului GC2 de red-teaming.
Pentru a se apăra împotriva acestei campanii, Proofpoint recomandă limitarea accesului la serviciile externe de partajare a fișierelor către servere de încredere, blocarea conexiunilor către TryCloudflare dacă nu sunt necesare în mod activ și monitorizarea execuției PowerShell suspecte.
Leave a Reply