Изследователи в областта на киберсигурността са разкрили нова кампания за зловреден софтуер, която използва Google Sheets като механизъм за управление и контрол (C2).
Дейността, засечена от Proofpoint от 5 август 2024 г., се представя за данъчни органи от правителства в Европа, Азия и САЩ, като целта е да се насочи към над 70 организации по света с помощта на специално създаден инструмент, наречен Voldemort, който е оборудван за събиране на информация и доставяне на допълнителни полезни товари.
Целевите сектори включват застрахователни, аерокосмически, транспортни, академични, финансови, технологични, индустриални, здравни, автомобилни, хотелиерски, енергийни, правителствени, медийни, производствени, телекомуникационни и организации в обществена полза.
Предполагаемата кампания за кибершпионаж не е приписана на конкретно посочен участник в заплаха. В рамките на атаките са изпратени до 20 000 имейл съобщения.
Тези имейли твърдят, че са от данъчни органи в САЩ, Великобритания, Франция, Германия, Италия, Индия, Източна Европа и Япония, като предупреждават получателите за промени в данъчните им декларации и ги призовават да кликнат върху URL адреси на Google AMP Cache, които пренасочват потребителите към междинна целева страница.
Това, което прави страницата, е да провери User-Agent низа, за да определи дали операционната система е Windows, и ако е така, да използва търсачката-ms: URI, за да покаже файл с пряк път (LNK) за Windows, който използва Adobe Acrobat Reader, за да се маскира като PDF файл в опит да подмами жертвата да го стартира.
„Ако LNK се изпълни, той ще извика PowerShell, за да стартира Python.exe от трети WebDAV дял на същия тунел (\library\), като подаде Python скрипт на четвърти дял (\resource\) на същия хост като аргумент“, казват изследователите на Proofpoint Томи Маджар, Пим Труербах и Селена Ларсън.
„Това кара Python да изпълни скрипта, без да изтегля никакви файлове на компютъра, като зависимостите се зареждат директно от WebDAV споделянето.“
Скриптът на Python е предназначен да събира системна информация и да изпраща данните под формата на Base64-кодиран низ към контролиран от извършителя домейн, след което показва на потребителя примамлив PDF файл и изтегля защитен с парола ZIP файл от OpenDrive.
ZIP архивът, от своя страна, съдържа два файла – легитимен изпълним файл „CiscoCollabHost.exe“, който е податлив на странично зареждане на DLL, и злонамерен DLL файл „CiscoSparkLauncher.dll“ (т.е. Voldemort), който се зарежда странично.
Voldemort е персонализирана задна врата, написана на C, която идва с възможности за събиране на информация и зареждане на полезен товар на следващ етап, като зловредният софтуер използва Google Sheets за C2, ексфилтрация на данни и изпълнение на команди от операторите.
Proofpoint описва дейността като свързана с напреднали устойчиви заплахи (APT), но носеща „вибрации на киберпрестъпление“ поради използването на техники, популярни в сферата на електронните престъпления.
„Заплахите злоупотребяват с URI на файловите схеми за достъп до външни ресурси за споделяне на файлове за постановка на зловреден софтуер, по-специално WebDAV и Server Message Block (SMB). Това става чрез използване на схемата „file://“ и насочване към отдалечен сървър, на който се намира зловредното съдържание“, казват изследователите.
Този подход е все по-разпространен сред семейства зловреден софтуер, които действат като брокери за първоначален достъп (IAB), като Latrodectus, DarkGate и XWorm.
Освен това от Proofpoint заявиха, че са успели да прочетат съдържанието на листа на Google, като са идентифицирали общо шест жертви, включително една, за която се смята, че е или пясъчник, или „известен изследовател“.
Кампанията е обявена за необичайна, което повишава вероятността злонамерени хакери да са хвърлили широка мрежа, преди да се насочат към малък набор от цели. Възможно е също така нападателите, вероятно с различни нива на технически опит, да са планирали да заразят няколко организации.
„Въпреки че много от характеристиките на кампанията съответстват на киберпрестъпната дейност, свързана със заплахи, ние оценяваме, че това вероятно е шпионска дейност, провеждана в подкрепа на все още неизвестни крайни цели“, казват изследователите.
„Франкенщайновата амалгама от умни и сложни възможности, съчетана с много базови техники и функционалност, затруднява оценката на нивото на способностите на субекта на заплахата и определянето с висока степен на сигурност на крайните цели на кампанията.“
Разработката идва в момент, когато Netskope Threat Labs разкриха актуализирана версия на зловредния софтуер Latrodectus (версия 1.4), която идва с нова крайна точка C2 и добавя две нови команди за задна врата, които му позволяват да изтегля shellcode от определен сървър и да извлича произволни файлове от отдалечено място.
„Latrodectus се развива доста бързо, като добавя нови функции към полезния си товар“, заяви изследователят по сигурността Леандро Фроес. „Разбирането на актуализациите, прилагани към полезния му товар, позволява на защитниците да поддържат автоматизираните конвейери правилно настроени, както и да използват информацията за по-нататъшно издирване на нови варианти.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.