Nauja kenkėjiškų programų kampanija visame pasaulyje skleidžia anksčiau nedokumentuotą užpakalinį duris, pavadintą „Voldemortas“, apsimetančią mokesčių agentūromis iš JAV, Europos ir Azijos.
Remiantis „Proofpoint“ ataskaita, kampanija prasidėjo 2024 m. rugpjūčio 5 d. ir išplatino daugiau nei 20 000 el. laiškų daugiau nei 70 tikslinių organizacijų, o per vieną dieną jos aktyvumo viršūnėje pasiekė 6 000 el. laiškų.
Daugiau nei pusė visų tikslinių organizacijų yra draudimo, aviacijos, transporto ir švietimo sektoriuose. Šios kampanijos grėsmės veikėjas nežinomas, tačiau Proofpoint mano, kad labiausiai tikėtinas tikslas yra vykdyti kibernetinį šnipinėjimą.
Išpuolis yra panašus į tai, ką Proofpoint aprašė mėnesio pradžioje, tačiau paskutiniame etape buvo įtraukta kita kenkėjiška programa.
Apsimetinėti mokesčių institucijomis
Naujoje „Proofpoint“ ataskaitoje teigiama, kad užpuolikai, remdamiesi vieša informacija, kuria sukčiavimo el. laiškus, kad atitiktų tikslinės organizacijos vietą.
Sukčiavimo el. laiškuose apsimetinėjama organizacijos šalies mokesčių institucijomis ir nurodoma, kad yra atnaujinta mokesčių informacija ir pateikiamos nuorodos į susijusius dokumentus.
Spustelėjus nuorodą gavėjai nukreipiami į nukreipimo puslapį, priglobtą „InfinityFree“, kuris naudoja „Google“ AMP talpyklos URL, kad nukreiptų auką į puslapį su mygtuku „Spustelėkite norėdami peržiūrėti dokumentą“.
Spustelėjus mygtuką, puslapis patikrins naršyklės vartotojo agentą, o jei jis skirtas „Windows“, nukreips taikinį į „Search-ms“ URI („Windows Search Protocol“), kuris nurodo „TryCloudflare“ tunelinį URI. Ne „Windows“ naudotojai nukreipiami į tuščią „Google“ disko URL, kuriame neteikiamas kenksmingas turinys.
Jei auka sąveikauja su paieškos ms failu, suaktyvinama „Windows Explorer“, kad būtų rodomas LNK arba ZIP failas, užmaskuotas kaip PDF.
Naudojimas search-ms: URI pastaruoju metu išpopuliarėjo vykdant sukčiavimo kampanijas, nes nors šis failas yra priglobtas išorinėje WebDAV / SMB bendrinimo vietoje, jis atrodo taip, tarsi jis būtų atsisiuntimų aplanke, kad auką būtų galima apgauti jį atidaryti.
Tai padarius, vykdomas Python scenarijus iš kitos WebDAV dalies, neatsisiunčiant jo į pagrindinį kompiuterį, kuris atlieka sistemos informacijos rinkimą, kad suformuluotų auką. Tuo pačiu metu rodomas apgaulės PDF failas, kad būtų užgožta kenkėjiška veikla.
Scenarijus taip pat atsisiunčia teisėtą Cisco WebEx vykdomąjį failą (CiscoCollabHost.exe) ir kenkėjišką DLL (CiscoSparkLauncher.dll), kad įkeltų Voldemort naudojant DLL šoninį įkėlimą.
Piktnaudžiavimas „Google“ skaičiuoklėmis
„Voldemort“ yra C pagrindu veikiantis „backdoor“, kuris palaiko daugybę komandų ir failų valdymo veiksmų, įskaitant išfiltravimą, naujų naudingų apkrovų įvedimą į sistemą ir failų ištrynimą.
Palaikomų komandų sąrašas pateikiamas žemiau:
- Ping – Tikrina ryšį tarp kenkėjiškos programos ir C2 serverio.
- Rež – Nuskaito katalogų sąrašą iš užkrėstos sistemos.
- Atsisiųsti – Atsisiunčia failus iš užkrėstos sistemos į C2 serverį.
- Įkelti – Įkelia failus iš C2 serverio į užkrėstą sistemą.
- Vykdytojas – Vykdo nurodytą komandą arba programą užkrėstoje sistemoje.
- Kopijuoti – Kopijuoja failus arba katalogus užkrėstoje sistemoje.
- Judėti – Perkelia failus arba katalogus užkrėstoje sistemoje.
- Miegoti – Perkelia kenkėjišką programą į miego režimą nurodytam laikui, kurio metu ji neatliks jokios veiklos.
- Išeiti – Nutraukia kenkėjiškos programos veikimą užkrėstoje sistemoje.
Ypatinga Voldemorto ypatybė yra ta, kad ji naudoja Google Sheets kaip komandų ir valdymo serverį (C2), pinguodama, kad gautų naujas komandas, kurios būtų vykdomos užkrėstame įrenginyje, ir kaip pavogtų duomenų saugyklą.
Kiekvienas užkrėstas aparatas įrašo savo duomenis į konkrečias „Google“ lapo langelius, kurie gali būti pažymėti unikaliais identifikatoriais, pvz., UUID, užtikrinant izoliaciją ir aiškesnį pažeistų sistemų valdymą.
Voldemortas naudoja „Google“ API su įterptuoju kliento ID, paslaptimi ir atnaujinimo prieigos raktu, kad galėtų sąveikauti su „Google“ skaičiuoklėmis, kurios saugomos šifruotoje konfigūracijoje.
Šis metodas suteikia kenkėjiškajai programai patikimą ir labai prieinamą C2 kanalą, taip pat sumažina tikimybę, kad tinklo ryšys bus pažymėtas saugos įrankiais. Kadangi „Google“ skaičiuoklės dažniausiai naudojamos įmonėje, paslaugos blokavimas taip pat yra nepraktiškas.
2023 m. Kinijos APT41 įsilaužimo grupė anksčiau buvo naudojama „Google“ skaičiuokles kaip komandų ir valdymo serverį, naudodama „red-teaming GC2“ įrankių rinkinį.
Siekdama apsiginti nuo šios kampanijos, „Proofpoint“ rekomenduoja apriboti prieigą prie išorinių failų dalijimosi paslaugų iki patikimų serverių, blokuoti ryšius su „TryCloudflare“, jei to nereikia, ir stebėti įtartiną „PowerShell“ vykdymą.