Търсене
Close this search box.

Изследователи в областта на киберсигурността са разкрили нова кампания за зловреден софтуер, която използва Google Sheets като механизъм за управление и контрол (C2).

Дейността, засечена от Proofpoint от 5 август 2024 г., се представя за данъчни органи от правителства в Европа, Азия и САЩ, като целта е да се насочи към над 70 организации по света с помощта на специално създаден инструмент, наречен Voldemort, който е оборудван за събиране на информация и доставяне на допълнителни полезни товари.

Целевите сектори включват застрахователни, аерокосмически, транспортни, академични, финансови, технологични, индустриални, здравни, автомобилни, хотелиерски, енергийни, правителствени, медийни, производствени, телекомуникационни и организации в обществена полза.

Предполагаемата кампания за кибершпионаж не е приписана на конкретно посочен участник в заплаха. В рамките на атаките са изпратени до 20 000 имейл съобщения.

Тези имейли твърдят, че са от данъчни органи в САЩ, Великобритания, Франция, Германия, Италия, Индия, Източна Европа и  Япония, като предупреждават получателите за промени в данъчните им декларации и ги призовават да кликнат върху URL адреси на Google AMP Cache, които пренасочват потребителите към междинна целева страница.

Това, което прави страницата, е да провери User-Agent низа, за да определи дали операционната система е Windows, и ако е така, да използва търсачката-ms: URI, за да покаже файл с пряк път (LNK) за Windows, който използва Adobe Acrobat Reader, за да се маскира като PDF файл в опит да подмами жертвата да го стартира.

„Ако LNK се изпълни, той ще извика PowerShell, за да стартира Python.exe от трети WebDAV дял на същия тунел (\library\), като подаде Python скрипт на четвърти дял (\resource\) на същия хост като аргумент“, казват изследователите на Proofpoint Томи Маджар, Пим Труербах и Селена Ларсън.

„Това кара Python да изпълни скрипта, без да изтегля никакви файлове на компютъра, като зависимостите се зареждат директно от WebDAV споделянето.“

Скриптът на Python е предназначен да събира системна информация и да изпраща данните под формата на Base64-кодиран низ към контролиран от извършителя домейн, след което показва на потребителя примамлив PDF файл и изтегля защитен с парола ZIP файл от OpenDrive.

ZIP архивът, от своя страна, съдържа два файла – легитимен изпълним файл „CiscoCollabHost.exe“, който е податлив на странично зареждане на DLL, и злонамерен DLL файл „CiscoSparkLauncher.dll“ (т.е. Voldemort), който се зарежда странично.

Voldemort е персонализирана задна врата, написана на C, която идва с възможности за събиране на информация и зареждане на полезен товар на следващ етап, като зловредният софтуер използва Google Sheets за C2, ексфилтрация на данни и изпълнение на команди от операторите.

Proofpoint описва дейността като свързана с напреднали устойчиви заплахи (APT), но носеща „вибрации на киберпрестъпление“ поради използването на техники, популярни в сферата на електронните престъпления.

„Заплахите злоупотребяват с URI на файловите схеми за достъп до външни ресурси за споделяне на файлове за постановка на зловреден софтуер, по-специално WebDAV и Server Message Block (SMB). Това става чрез използване на схемата „file://“ и насочване към отдалечен сървър, на който се намира зловредното съдържание“, казват изследователите.

Този подход е все по-разпространен сред семейства зловреден софтуер, които действат като брокери за първоначален достъп (IAB), като Latrodectus, DarkGate и XWorm.

Освен това от Proofpoint заявиха, че са успели да прочетат съдържанието на листа на Google, като са идентифицирали общо шест жертви, включително една, за която се смята, че е или пясъчник, или „известен изследовател“.

Кампанията е обявена за необичайна, което повишава вероятността злонамерени хакери да са хвърлили широка мрежа, преди да се насочат към малък набор от цели. Възможно е също така нападателите, вероятно с различни нива на технически опит, да са планирали да заразят няколко организации.

„Въпреки че много от характеристиките на кампанията съответстват на киберпрестъпната дейност, свързана със заплахи, ние оценяваме, че това вероятно е шпионска дейност, провеждана в подкрепа на все още неизвестни крайни цели“, казват изследователите.

„Франкенщайновата амалгама от умни и сложни възможности, съчетана с много базови техники и функционалност, затруднява оценката на нивото на способностите на субекта на заплахата и определянето с висока степен на сигурност на крайните цели на кампанията.“

Разработката идва в момент, когато Netskope Threat Labs разкриха актуализирана версия на зловредния софтуер Latrodectus (версия 1.4), която идва с нова крайна точка C2 и добавя две нови команди за задна врата, които му позволяват да изтегля shellcode от определен сървър и да извлича произволни файлове от отдалечено място.

„Latrodectus се развива доста бързо, като добавя нови функции към полезния си товар“, заяви изследователят по сигурността Леандро Фроес. „Разбирането на актуализациите, прилагани към полезния му товар, позволява на защитниците да поддържат автоматизираните конвейери правилно настроени, както и да използват информацията за по-нататъшно издирване на нови варианти.“

 

Източник: The Hacker News

Подобни публикации

11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
Бъдете социални
Още по темата
09/10/2024

American Water претърпява с...

Най-голямото публично търгувано дружество за водоснабдяване...
07/10/2024

Comcast и Truist Bank постр...

Comcast Cable Communications и Truist Bank...
07/10/2024

Google Pay със случайни име...

Тази седмица потребителите бяха разтревожени от...
Последно добавени
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
11/10/2024

31 милиона потребители са з...

Интернет архивът потвърди, че е бил...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!