本文来自微信公众号“嘶吼专业版”,作者/胡金鱼。
一项新的恶意软件活动正在向全球传播一种之前未曾记录的后门“Voldemort”,主要冒充美国、欧洲和亚洲的税务机构。
根据Proofpoint的报告,该活动于2024年8月5日开始,已向70多个目标组织传播了20,000多封电子邮件,在其活动高峰期一天内就达到了6,000封。
超过一半的目标组织属于保险、航空航天、交通运输和教育行业。此次攻击活动的幕后威胁者尚不清楚,但Proofpoint认为最有可能的目的是进行网络间谍活动。
此次攻击与Proofpoint在本月初描述的攻击类似,但最后阶段涉及了不同的恶意软件。
冒充税务机关
Proofpoint的最新报告称,攻击者正在根据公开信息制作网络钓鱼电子邮件以匹配目标组织的位置。
网络钓鱼电子邮件冒充该组织所在国家的税务机关,声称有更新的税务信息并包含相关文件的链接。
攻击活动中使用的恶意电子邮件样本
点击该链接会将收件人带到托管在InfinityFree上的登录页面,该页面使用Google AMP Cache URL将受害者重定向到带有“单击查看文档”按钮的页面。
单击按钮后,页面将检查浏览器的用户代理,如果适用于Windows,则将目标重定向到指向TryCloudflare隧道URI的search-ms URI(Windows搜索协议)。非Windows用户将被重定向到一个空的Google Drive URL,该URL不提供任何恶意内容。
如果受害者与search-ms文件交互,Windows资源管理器就会被触发,显示伪装成PDF的LNK或ZIP文件。
search-ms:URI的使用最近在网络钓鱼活动中变得很流行,因为即使此文件托管在外部WebDAV/SMB共享上,它也会看起来好像位于本地的下载文件夹中,以诱骗受害者打开它。
使文件看起来好像位于受害者的计算机上
这样做会从另一个WebDAV共享中执行Python脚本,而无需将其下载到主机上,该脚本会执行系统信息收集以分析受害者。同时,会显示诱饵PDF以掩盖恶意活动。
转移受害者注意力的诱饵PDF
该脚本还下载合法的Cisco WebEx可执行文件(CiscoCollabHost.exe)和恶意DLL(CiscoSparkLauncher.dll),以使用DLL侧加载来加载Voldemort。
滥用Google表格
Voldemort是一个基于C的后门,支持各种命令和文件管理操作,包括渗透、将新的有效载荷引入系统以及文件删除。
支持的命令列表如下:
·Ping–测试恶意软件与C2服务器之间的连接。
·Dir–从受感染系统检索目录列表。
·Download–从受感染系统下载文件到C2服务器。
·Upload–从C2服务器上传文件到受感染系统。
·Exec–在受感染系统上执行指定的命令或程序。
·Copy–在受感染系统内复制文件或目录。
·Move–在受感染系统内移动文件或目录。
·Sleep–使恶意软件在指定的时间内进入睡眠模式,在此期间恶意软件不会执行任何活动。
·Exit–终止恶意软件在受感染系统上的运行。
Voldemort的一个显著特点是,它使用Google Sheets作为命令和控制服务器(C2),对其进行ping以获取在受感染设备上执行的新命令,并将其作为被盗数据的存储库。
每台受感染的机器都会将其数据写入Google Sheet中的特定单元,这些单元可以通过UUID等唯一标识符指定,从而确保隔离并更清晰地管理受感染的系统。
请求从Google接收访问令牌
Voldemort使用嵌入了客户端ID、密钥和刷新令牌的Google API与Google Sheets进行交互,这些都存储在其加密配置中。
这种方法为恶意软件提供了可靠且高度可用的C2通道,同时还降低了网络通信被安全工具标记的可能性。
由于Google Sheets在企业中广泛使用,因此阻止该服务也不切实际。
2023年,黑客组织APT41曾被发现通过使用红队GC2工具包将Google Sheets用作命令和控制服务器。为了防御此活动,Proofpoint建议将对外部文件共享服务的访问限制在受信任的服务器上,在不需要时阻止与TryCloudflare的连接,并监控可疑的PowerShell执行。