Akter grožnje, “Voldemort”, je izvedel sofisticirano kampanjo, usmerjeno proti različnim organizacijam po vsem svetu, z uporabo nove verige napadov, v katero je vključil Google Sheets za poveljevanje in nadzor ter druge nenavadne taktike.
“Voldemort” je bil prilagojen program za dostop v hrbtno dver napisan v C, z zmožnostmi za izčrpavanje podatkov in dostavo dodatnih vsebin, kar je bilo del napredne trajne grožnje (APT) kampanje usmerjene v obveščevalno dejavnost, verjetno z uporabo Cobalt Strike kot potencialne vsebine.
Zlonamerna kampanja, ki je uporabljala zlonamerno programsko opremo Voldemort, je bila usmerjena na več kot 70 organizacij po vsem svetu, s pomembnim porastom aktivnosti 17. avgusta. S posnemanjem davčnih organov iz različnih držav je akter grožnje poslal več kot 20.000 e-poštnih sporočil, prilagojenih državi prebivališča cilja.
Osredotočila se je na specifične vertikale, zlasti zavarovalnice, letalsko in vesoljsko industrijo, transport in univerze, s pošiljanjem e-poštnih sporočil s kompromitiranih domen, ki so posnemala pravo domeno davčnega organa.
Phishing napad se začne z URL-jem Google AMP Cache v e-pošti, ki preusmeri na ciljno stran, ki preveri User-Agent in dostavi različne vsebine odvisno od operacijskega sistema.
Za uporabnike Windows, klik na povezavo sproži Windows Search poizvedbo, ki preusmeri na zlonamerno LNK datoteko, maskirano kot PDF, ki izvaja Python skripto, ki zbere informacije o sistemu, jih pošlje napadalcu, prenese lažni PDF in naloži hrbtno dver imenom Voldemort, maskirano kot Cisco datoteka.
APT akterji uporabljajo kombinacijo tehnik, običajno najdenih v kibernetskih kriminalnih in vohunskih kampanjah, z zlorabo shem URI datotek za dostop do zunanjih virov za delitev datotek za pripravo zlonamerne programske opreme in uporabo TryCloudflare tunelov za oddaljen dostop do podatkov.
Akterji zlorabljajo format shranjene iskalne datoteke (.search-ms) za shranjevanje iskalne poizvedbe kot datoteke na WebDAV delu, kar jim omogoča, da skrijejo elemente, ki bi sicer nakazovali, da žrtev ni v mapi na svojem lokalnem računalniku.
Zlonamerna programska oprema izkorišča ranljivost v CiscoCollabHost.exe za izvajanje zlonamernega DLL, ki se nato uporablja za vzpostavitev komunikacije z C2 strežnikom, ki temelji na Google Sheets, z uporabo edinstvene tehnike poziva API in dešifriranjem nizov z uporabo prilagojenega algoritma.
Iskal je specifično oznako v svoji lastni datoteki za iskanje svoje konfiguracije, ki vsebuje informacije, potrebne za povezavo s C2. Po avtentikaciji z Google Sheets je zlonamerna programska oprema brala in pisala podatke v določen list, kar je napadalcem omogočalo izdajo ukazov in prejem statusnih posodobitev.
Raziskovalci pri ProofPoint so odkrili, da je zlonamerna programska oprema uporabljala Google Sheet za shranjevanje podatkov o žrtvah in izvajanje ukazov. Z analizo Google Sheeta in povezanih Google Drive datotek so identificirali več žrtev, vključno s peskovnikom in znanimi raziskovalci.
Našli so tudi učna gradiva, povezana s kodo programske opreme OpenWRT in z geslom zaščiten arhiv 7-zip, ki je vseboval DLL in izvršljivo datoteko.
Izvršljiva datoteka je bila ranljiva za nalaganje DLL in bi jo lahko uporabili za injiciranje Cobalt Strike Beacon. Raziskovalci so izvlekli konfiguracijo Cobalt Strike, ki je razkrila domeno in URI, uporabljene za komunikacijo.
