信息化觀察網(wǎng)

本文來自微信公眾號(hào)“嘶吼專業(yè)版”，作者/胡金魚。

一項(xiàng)新的惡意軟件活動(dòng)正在向全球傳播一種之前未曾記錄的后門“Voldemort”，主要冒充美國、歐洲和亞洲的稅務(wù)機(jī)構(gòu)。

根據(jù)Proofpoint的報(bào)告，該活動(dòng)于2024年8月5日開始，已向70多個(gè)目標(biāo)組織傳播了20,000多封電子郵件，在其活動(dòng)高峰期一天內(nèi)就達(dá)到了6,000封。

超過一半的目標(biāo)組織屬于保險(xiǎn)、航空航天、交通運(yùn)輸和教育行業(yè)。此次攻擊活動(dòng)的幕后威脅者尚不清楚，但Proofpoint認(rèn)為最有可能的目的是進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)。

此次攻擊與Proofpoint在本月初描述的攻擊類似，但最后階段涉及了不同的惡意軟件。

冒充稅務(wù)機(jī)關(guān)

Proofpoint的最新報(bào)告稱，攻擊者正在根據(jù)公開信息制作網(wǎng)絡(luò)釣魚電子郵件以匹配目標(biāo)組織的位置。

網(wǎng)絡(luò)釣魚電子郵件冒充該組織所在國家的稅務(wù)機(jī)關(guān)，聲稱有更新的稅務(wù)信息并包含相關(guān)文件的鏈接。

攻擊活動(dòng)中使用的惡意電子郵件樣本

點(diǎn)擊該鏈接會(huì)將收件人帶到托管在InfinityFree上的登錄頁面，該頁面使用Google AMP Cache URL將受害者重定向到帶有“單擊查看文檔”按鈕的頁面。

單擊按鈕后，頁面將檢查瀏覽器的用戶代理，如果適用于Windows，則將目標(biāo)重定向到指向TryCloudflare隧道URI的search-ms URI（Windows搜索協(xié)議）。非Windows用戶將被重定向到一個(gè)空的Google Drive URL，該URL不提供任何惡意內(nèi)容。

如果受害者與search-ms文件交互，Windows資源管理器就會(huì)被觸發(fā)，顯示偽裝成PDF的LNK或ZIP文件。

search-ms:URI的使用最近在網(wǎng)絡(luò)釣魚活動(dòng)中變得很流行，因?yàn)榧词勾宋募泄茉谕獠縒ebDAV/SMB共享上，它也會(huì)看起來好像位于本地的下載文件夾中，以誘騙受害者打開它。

使文件看起來好像位于受害者的計(jì)算機(jī)上

這樣做會(huì)從另一個(gè)WebDAV共享中執(zhí)行Python腳本，而無需將其下載到主機(jī)上，該腳本會(huì)執(zhí)行系統(tǒng)信息收集以分析受害者。同時(shí)，會(huì)顯示誘餌PDF以掩蓋惡意活動(dòng)。

轉(zhuǎn)移受害者注意力的誘餌PDF

該腳本還下載合法的Cisco WebEx可執(zhí)行文件（CiscoCollabHost.exe）和惡意DLL（CiscoSparkLauncher.dll），以使用DLL側(cè)加載來加載Voldemort。

濫用Google表格

Voldemort是一個(gè)基于C的后門，支持各種命令和文件管理操作，包括滲透、將新的有效載荷引入系統(tǒng)以及文件刪除。

支持的命令列表如下：

·Ping–測(cè)試惡意軟件與C2服務(wù)器之間的連接。

·Dir–從受感染系統(tǒng)檢索目錄列表。

·Download–從受感染系統(tǒng)下載文件到C2服務(wù)器。

·Upload–從C2服務(wù)器上傳文件到受感染系統(tǒng)。

·Exec–在受感染系統(tǒng)上執(zhí)行指定的命令或程序。

·Copy–在受感染系統(tǒng)內(nèi)復(fù)制文件或目錄。

·Move–在受感染系統(tǒng)內(nèi)移動(dòng)文件或目錄。

·Sleep–使惡意軟件在指定的時(shí)間內(nèi)進(jìn)入睡眠模式，在此期間惡意軟件不會(huì)執(zhí)行任何活動(dòng)。

·Exit–終止惡意軟件在受感染系統(tǒng)上的運(yùn)行。

Voldemort的一個(gè)顯著特點(diǎn)是，它使用Google Sheets作為命令和控制服務(wù)器(C2)，對(duì)其進(jìn)行ping以獲取在受感染設(shè)備上執(zhí)行的新命令，并將其作為被盜數(shù)據(jù)的存儲(chǔ)庫。

每臺(tái)受感染的機(jī)器都會(huì)將其數(shù)據(jù)寫入Google Sheet中的特定單元，這些單元可以通過UUID等唯一標(biāo)識(shí)符指定，從而確保隔離并更清晰地管理受感染的系統(tǒng)。

請(qǐng)求從Google接收訪問令牌

Voldemort使用嵌入了客戶端ID、密鑰和刷新令牌的Google API與Google Sheets進(jìn)行交互，這些都存儲(chǔ)在其加密配置中。

這種方法為惡意軟件提供了可靠且高度可用的C2通道，同時(shí)還降低了網(wǎng)絡(luò)通信被安全工具標(biāo)記的可能性。

由于Google Sheets在企業(yè)中廣泛使用，因此阻止該服務(wù)也不切實(shí)際。

2023年，黑客組織APT41曾被發(fā)現(xiàn)通過使用紅隊(duì)GC2工具包將Google Sheets用作命令和控制服務(wù)器。為了防御此活動(dòng)，Proofpoint建議將對(duì)外部文件共享服務(wù)的訪問限制在受信任的服務(wù)器上，在不需要時(shí)阻止與TryCloudflare的連接，并監(jiān)控可疑的PowerShell執(zhí)行。