Yeni bir kötü amaçlı yazılım kampanyası, ABD, Avrupa ve Asya'dan vergi ajanslarını taklit ederek, dünya çapında kuruluşlara "Voldemort" adlı daha önce belgelenmemiş bir arka kapı yayıyor.
Bir prova noktası raporuna göre, kampanya 5 Ağustos 2024'te başladı ve 20.000'den fazla e -postayı 70'den fazla hedeflenen kuruluşa yaydı ve etkinliğinin zirvesinde tek bir günde 6.000'e ulaştı.
Hedeflenen tüm kuruluşların yarısından fazlası sigorta, havacılık, ulaşım ve eğitim sektörlerinde bulunmaktadır. Bu kampanyanın arkasındaki tehdit oyuncusu bilinmiyor, ancak Proofpoint en olası hedefin siber casusluk yapmak olduğuna inanıyor.
Saldırı, ayın başında tarif edilen Proofpoint'e benzer, ancak son aşamada farklı bir kötü amaçlı yazılım içermesine benzer.
Yeni bir prova noktası raporu, saldırganların hedeflenen bir kuruluşun kamu bilgilerine dayalı olarak eşleşmesi için kimlik avı e -postaları hazırladığını söylüyor.
Kimlik avı e -postaları, vergi yetkililerini kuruluşun ülkesinden taklit ederek, güncellenmiş vergi bilgileri olduğunu ve ilişkili belgelere bağlantılar içerdiğini belirtir.
Bağlantıya tıklamak, alıcıları InfinityFree'de barındırılan bir açılış sayfasına getirir, bu da kurbanı "Belgeyi Görüntülemek için Tıklayın" düğmesine sahip bir sayfaya yönlendirmek için Google AMP önbellek URL'lerini kullanır.
Düğme tıklandığında, sayfa tarayıcının kullanıcı aracısını kontrol eder ve Windows için ise, hedefi TrycloudFlare-Tunneled Uri'ye işaret eden bir Search-MS URI'sine (Windows Arama Protokolü) yönlendirin. Windows olmayan kullanıcılar, kötü niyetli içerik sunmayan boş bir Google Drive URL'sine yönlendirilir.
Mağdur Search-MS dosyasıyla etkileşime girerse, Windows Gezgini PDF olarak gizlenmiş bir LNK veya ZIP dosyası görüntülemek için tetiklenir.
Search-MS: URI'nin kullanımı son zamanlarda kimlik avı kampanyalarıyla popüler hale geldi, bu dosya harici bir Webdav/KOBİ paylaşımında barındırılsa da, kurbanı kandırmak için indirmeler klasöründe yerel olarak bulunuyormuş gibi görünmektedir. açılıyor.
Bunu yapmak, kurbanı profillemek için sistem bilgisi koleksiyonu gerçekleştiren ana bilgisayardan indirmeden başka bir Webdav Share'den bir Python komut dosyası yürütür. Aynı zamanda, kötü niyetli aktiviteyi gizlemek için bir tuzak PDF görüntülenir.
Komut dosyası ayrıca, DLL yan yükleme kullanarak Voldemort'u yüklemek için meşru bir Cisco WebEx yürütülebilir dosyası (ciscocollabhost.exe) ve kötü amaçlı bir DLL (ciscosparklauncher.dll) indirir.
Voldemort, exfiltrasyon, sisteme yeni yükler ekleme ve dosya silme dahil olmak üzere çok çeşitli komutları ve dosya yönetimi eylemlerini destekleyen C tabanlı bir arka kapıdır.
Desteklenen komutların listesi aşağıda verilmiştir:
Voldemort'un dikkate değer bir özelliği, Google tabakalarını bir komut ve kontrol sunucusu (C2) olarak kullanması, enfekte olmuş cihazda yürütmek için yeni komutlar ve çalınan veriler için bir depo olarak ping atmasıdır.
Enfekte her makine, verilerini Google sayfasında UUID'ler gibi benzersiz tanımlayıcılar tarafından belirlenebilen ve ihlal edilen sistemlerin izolasyonunu ve daha net yönetimini sağlayabilen belirli hücrelere yazar.
Voldemort, Google'ın API'sını, şifreli yapılandırmasında saklanan Google tabakalarıyla etkileşim kurmak için gömülü bir istemci kimliği, gizli ve yenileme jetonu ile kullanır.
Bu yaklaşım, kötü amaçlı yazılımları güvenilir ve yüksek bir C2 kanalı sağlar ve ayrıca ağ iletişiminin güvenlik araçları tarafından işaretlenme olasılığını azaltır. Google Sheets işletmede yaygın olarak kullanıldığından, hizmeti engellemeyi pratik hale getirir.
2023'te Çin APT41 Hacking Group daha önce Kırmızı Takımlı GC2 araç seti kullanarak Google sayfalarını bir komut ve kontrol sunucusu olarak kullandı.
Bu kampanyaya karşı savunmak için Proofpoint, harici dosya paylaşım hizmetlerine erişimin güvenilir sunuculara sınırlandırılmasını, aktif olarak ihtiyaç duyulmadığı takdirde TryCloudFlare ile bağlantıların engellenmesini ve şüpheli PowerShell yürütülmesini izlemenizi önerir.
Hackerlar Kötüye Kullanım Uzaktan Erişim Kötü Yazılımları Teslim etmek için Ücretsiz TryCloudFlare
Facebook'ta sahte AI Editör Reklamları Şifre Çalma Kötü Yazılım
Kötü niyetli PYPI paketleri güvenlik duvarlarını atlamak için Cloudflare Tüneli Oluştur
Kötü amaçlı yazılım dağıtım hizmeti tarafından kullanılan 3.000'den fazla GitHub hesabı
Sahte Crowdtrike Onarım Kılavuzu Yeni Infostealer kötü amaçlı yazılımını iter
Kaynak: Bleeping Computer