Voldemort-Malware
Cybersicherheitsforscher haben eine neue Malware-Kampagne identifiziert, die Google Sheets als Command-and-Control (C2)-Plattform verwendet.
Die Angriffskampagne wurde im August 2024 von Forschern entdeckt und tarnt sich als Steuerbehörden aus Europa, Asien und den USA. Sie zielt auf mehr als 70 Organisationen weltweit ab. Die Angreifer verwenden ein spezielles Tool namens Voldemort, das darauf ausgelegt ist, Informationen zu sammeln und zusätzliche Malware zu verbreiten.
Zu den Zielbranchen zählen Versicherungen, Luft- und Raumfahrt, Transport, Wissenschaft, Finanzen, Technologie, Industrie, Gesundheitswesen, Automobil, Gastgewerbe, Energie, Regierung, Medien, Fertigung, Telekommunikation und gemeinnützige Organisationen. Obwohl die Cyber-Spionage-Kampagne keinem bestimmten Bedrohungsakteur zugeordnet werden konnte, wird geschätzt, dass im Rahmen dieser Angriffe bis zu 20.000 E-Mails versendet wurden.
Inhaltsverzeichnis
Von Angreifern ausgenutzter erster Angriffsvektor
Die entdeckten E-Mails geben vor, von Steuerbehörden in den USA, Großbritannien, Frankreich, Deutschland, Italien, Indien und Japan zu stammen. Sie informieren die Empfänger über Aktualisierungen ihrer Steuererklärungen und fordern sie auf, auf Google AMP Cache-URLs zu klicken, die sie auf eine zwischengeschaltete Zielseite weiterleiten.
Diese Seite überprüft die User-Agent-Zeichenfolge, um festzustellen, ob das Betriebssystem des Benutzers Windows ist. Wenn dies der Fall ist, verwendet die Seite den URI-Protokollhandler search-ms:, um eine als PDF getarnte Windows-Verknüpfungsdatei (LNK) mit Adobe Acrobat Reader anzuzeigen, um das Opfer zum Öffnen zu verleiten.
Wenn die LNK-Datei ausgeführt wird, veranlasst sie PowerShell, Python.exe von einer WebDAV-Freigabe (\library) auszuführen und dabei ein Python-Skript als Argument zu übergeben, das sich auf einer anderen Freigabe (\resource) auf demselben Server befindet.
So wird die Voldemort-Malware auf infizierten Systemen eingesetzt
Mit dieser Methode kann Python das Skript ausführen, ohne Dateien auf dem Computer zu speichern, wobei Abhängigkeiten direkt aus der WebDAV-Freigabe geladen werden.
Das Python-Skript ist so programmiert, dass es Systeminformationen sammelt und diese als Base64-codierte Zeichenfolge an eine von den Angreifern kontrollierte Domäne überträgt. Anschließend zeigt es dem Benutzer ein Schein-PDF an und lädt eine kennwortgeschützte ZIP-Datei von OpenDrive herunter.
Das ZIP-Archiv enthält zwei Dateien: eine legitime ausführbare Datei, „CiscoCollabHost.exe“, die für DLL-Sideloading anfällig ist, und eine bösartige DLL-Datei, „CiscoSparkLauncher.dll“ (bekannt als Voldemort), die von der ausführbaren Datei sideloaded wird.
Fähigkeiten der Voldemort-Malware-Bedrohung
Voldemort ist eine benutzerdefinierte, in C geschriebene Hintertür, die über Funktionen zum Sammeln von Informationen und Laden von Payloads der nächsten Stufe verfügt, wobei die Malware Google Sheets für C2, Datenexfiltration und die Ausführung von Befehlen der Betreiber verwendet.
Die Forscher beschrieben die Aktivität als mit Advanced Persistent Threats (APT) vergleichbar, trage aber aufgrund der Verwendung in der E-Crime-Landschaft weit verbreiteter Techniken Merkmale der Internetkriminalität auf.
Bedrohungsakteure missbrauchen Dateischema-URIs, um auf externe Filesharing-Ressourcen zuzugreifen und Malware zu inszenieren, insbesondere WebDAV und Server Message Block (SMB). Dies geschieht, indem das Schema „file://“ verwendet und auf einen Remote-Server verweist, der den bedrohlichen Inhalt hostet.
Dieser Ansatz ist bei Malware-Familien, die als Initial Access Broker (IABs) fungieren, wie etwa Latrodectus , DarkGate und XWorm , zunehmend verbreitet.
Das Ziel des Angreifers bleibt unbekannt
Die schädliche Kampagne wurde als ungewöhnlich eingestuft. Sie lässt darauf schließen, dass die Bedrohungsakteure zunächst eine breite Palette potenzieller Opfer ins Visier genommen haben, bevor sie ihren Fokus auf eine ausgewählte Gruppe verengten. Es ist auch möglich, dass die Angreifer, die über unterschiedliche technische Fachkenntnisse zu verfügen scheinen, beabsichtigten, mehrere Organisationen zu kompromittieren.
Obwohl viele Aspekte der Kampagne typischen cyberkriminellen Aktivitäten ähneln, glauben wir, dass es sich wahrscheinlich um einen Spionageversuch handelt, der auf bisher unbekannte Ziele abzielt. Die Mischung aus fortschrittlichen und cleveren Taktiken der Kampagne, kombiniert mit einigen grundlegenden Techniken, erschwert die Einschätzung der Fähigkeiten des Bedrohungsakteurs und macht es schwierig, seine endgültigen Ziele mit hoher Sicherheit zu bestimmen.
