Jauna ļaunprātīga programmatūra, kas identificēta kā Voldemort, ir vērsta uz Google izklājlapām. Tas arī uzdodas par nodokļu aģentūrām no ASV, Eiropas un Āzijas, lai atvērtu un izmantotu vairākus uzbrukuma vektorus.
Voldemort ļaunprātīga programmatūra, kuras mērķauditorija ir Google izklājlapas
Uzņēmums Proofpoint ir identificējis un novērojis jaunu ļaunprātīgas programmatūras kampaņu. Ļaunprātīga programmatūra izplata iepriekš nedokumentētu aizmugures durvis ar nosaukumu “Voldemort”. Tas neaprobežojas tikai ar vienu konkrētu reģionu un ietver divus posmus.
Saskaņā ar Pīkstošs datorsVoldemorts būtībā ir C bāzes durvis. Tajā ir vairākas komandas un failu pārvaldības darbības. Ļaunprātīga programmatūra var arī ieviest sistēmā jaunas slodzes un pat izdzēst failus. Tomēr galvenā funkcija ir datu eksfiltrācija.
Pierādījumu pētnieki Tomijs Madžārs (@ffforward), Pims Truerbahs (@Myrtus0x0) un Selēna Larsone (@selenalarson) izpētīt iespējamu spiegošanas kampaņu, kas nodrošina Voldemorta aizmugures durvis. https://t.co/pPLBk1YYpg pic.twitter.com/NCfXepvvqn
— Vīrusu biļetens (@virusbtn) 2024. gada 30. augusts
Satraucoši jāatzīmē, ka Voldemort ļaunprogrammatūra izmanto Google izklājlapas kā komandu un kontroles serveri (C2). Turklāt šī ļaunprogrammatūra izmanto Google API ar iegultu klienta ID, noslēpumu un atsvaidzināšanas pilnvaru, lai mijiedarbotos ar Google izklājlapām.
Šīs metodes palīdz Voldemort ļaunprogrammatūrai palikt zem radara. Citiem vārdiem sakot, Voldemorta tīkla saziņa šķiet likumīga, un tāpēc drošības rīki nespēj to atzīmēt kā aizdomīgu.
Google izklājlapas ir viens no visplašāk izmantotajiem mākoņpakalpojumiem. Tas nozīmē, ka drošības komandas nevar vienkārši bloķēt pakalpojumu, lai apturētu Voldemort ļaunprātīgās programmatūras izplatību, izmantojot Google izklājlapas.
Izplatīt ļaunprātīgu programmatūru, kas uzdodas par nodokļu amatpersonām
Lai izplatītos, draudu dalībnieki ir izmantojuši vienkāršus vecus pikšķerēšanas e-pastus. Tiek ziņots, ka uzbrucēji, pamatojoties uz publisko informāciju, apkopo mērķa organizācijas atrašanās vietu un pēc tam sūta pikšķerēšanas e-pastus.
Šie e-pasta ziņojumi uzdodas par nodokļu iestādēm no organizācijas valsts. Tajā teikts, ka ir atjaunināta nodokļu informācija. E-pastā ir saites uz “atbilstošiem” dokumentiem. Lieki piebilst, ka šīs saites ir ēsma.
#drauduziņojums #AugstaPilnīgums
Ļaunprātīga programmatūra, kuru nedrīkst nosaukt: aizdomās turamā spiegošanas kampaņa nodrošina “Voldemortu” | 29-08-2024
Avots: https://t.co/MDgQBuCLn5
Galvenā informācija zemāk ↓ pic.twitter.com/DpKb57Ttdf— RST mākonis (@rst_cloud) 2024. gada 30. augusts
Drošības pētnieki ir novērojuši, ka saites aizved upurus uz galveno lapu, kas tiek mitināta vietnē InfinityFree. Ja ļaunprogrammatūra atpazīst, ka tā atrodas Windows datorā, tā novirza upurus uz TryCloudflare tunelētu URI (Windows Search Protocol).
Mijiedarbojoties ar failu, upuri iegūst ZIP failu, kas ir maskēts kā PDF fails. Tas ir izplatīts paņēmiens pikšķerēšanas uzbrukumos, jo attālajos serveros mitinātie faili izskatās tā, it kā tie atrastos lokālajā datorā. Tas mudina upurus domāt, ka viņi ir lejupielādējuši failu un pieņem, ka Microsoft Defender būtu skenējis to pašu.
Kad noziedznieku banda atrod kaut ko citu
Ja jums patīk dīvainas infekcijas ķēdes, WebDAV, Python, pielāgotas aizmugures durvis ar jaunām C2 metodēm un dumpulatora, PCAP un daudz ko citu izmantošana, banda @selenalarson @Myrtus0x0 @ffforward tev izdevās! https://t.co/IFvoNEVUmH pic.twitter.com/x5TMPkde59
— Gregs Lesnevičs (@greglesnewich) 2024. gada 29. augusts
Kamēr upuris mijiedarbojas ar failu, fonā tiek instalēta ļaunprogrammatūra Voldemort. Lai inficētu sistēmu, tā izmanto likumīgu Cisco WebEx izpildāmo failu (CiscoCollabHost.exe) un ļaunprātīgu DLL (CiscoSparkLauncher.dll).
Līdz šim Linux datoru un Mac OS lietotāji ir imūni pret ļaunprātīgas programmatūras uzbrukumu. Tomēr Proofpoint iesaka ierobežot piekļuvi ārējiem failu apmaiņas pakalpojumiem. Sistēmas un tīkla administratori var bloķēt savienojumus ar TryCloudflare un pārraudzīt aizdomīgos PowerShell skriptus, kas darbojas biroja datoros, kuros darbojas operētājsistēma Windows OS.
