Новая вредоносная программа Voldemort использует Google Sheets для хранения украденных данных

Новая кампания по распространению вредоносного ПО распространяет ранее недокументированный бэкдор под названием «Волан-де-Морт» среди организаций по всему миру, выдавая себя за налоговые агентства из США, Европы и Азии.

Согласно отчету Proofpoint, кампания началась 5 августа 2024 года и распространила более 20 000 электронных писем в более чем 70 целевых организациях, достигая 6 000 за один день на пике своей активности.

Более половины всех целевых организаций относятся к страховому, аэрокосмическому, транспортному и образовательному секторам. Кто стоит за этой кампанией, неизвестно, но Proofpoint считает, что наиболее вероятной целью является кибершпионаж.

Атака похожа на ту, которую Proofpoint описывала в начале месяца, но на финальной стадии в ней использовался другой набор вредоносных программ.

Выдача себя за представителей налоговых органов
В новом отчете Proofpoint говорится, что злоумышленники составляют фишинговые письма так, чтобы они соответствовали местонахождению целевой организации, основанному на публичной информации.

Фишинговые письма выдают себя за налоговые органы страны, в которой находится организация, сообщая, что в них содержится обновленная налоговая информация и ссылки на соответствующие документы.

При переходе по ссылке получатели попадают на целевую страницу, размещенную на InfinityFree, которая использует URL-адреса Google AMP Cache для перенаправления жертвы на страницу с кнопкой «Нажмите, чтобы просмотреть документ».

При нажатии на кнопку страница проверяет User Agent браузера и, если он предназначен для Windows, перенаправляет жертву на URI search-ms (Windows Search Protocol), который указывает на туннелированный URI TryCloudflare. Пользователи, не работающие под Windows, перенаправляются на пустой URL Google Drive, не содержащий вредоносного содержимого.

Если жертва взаимодействует с файлом search-ms, в проводнике Windows отображается LNK или ZIP-файл, замаскированный под PDF.

Использование search-ms: URI стало популярным в последнее время в фишинговых кампаниях, поскольку, хотя этот файл размещен на внешнем ресурсе WebDAV/SMB, он создается впечатление, что находится локально в папке Downloads, чтобы обманом заставить жертву открыть его.

При этом выполняется скрипт Python из другого WebDAV-ресурса без его загрузки на хост, который собирает системную информацию, чтобы составить профиль жертвы. Одновременно отображается ложный PDF-файл, скрывающий вредоносную активность.

Сценарий также загружает легитимный исполняемый файл Cisco WebEx (CiscoCollabHost.exe) и вредоносную DLL (CiscoSparkLauncher.dll) для загрузки Voldemort с помощью побочной загрузки DLL.

Использование Google Sheets
Voldemort - это бэкдор на языке C, поддерживающий широкий спектр команд и действий по управлению файлами, включая эксфильтрацию, внедрение новых полезных нагрузок в систему и удаление файлов.

• Список поддерживаемых команд приведен ниже:
• Ping - проверяет связь между вредоносной программой и C2-сервером.
• Dir - Получает список каталогов из зараженной системы.
• Download - Загрузка файлов с зараженной системы на сервер C2.
• Upload - Загрузка файлов с сервера C2 на зараженную систему.
• Exec - Выполнение указанной команды или программы на зараженной системе.
• Копировать - копирование файлов или каталогов в зараженной системе.
• Переместить - перемещение файлов или каталогов в зараженной системе.
• Sleep - переводит вредоносную программу в спящий режим на определенное время, в течение которого она не будет выполнять никаких действий.
• Выход - завершение работы вредоносной программы на зараженной системе.

Примечательной особенностью Voldemort является то, что он использует Google Sheets в качестве командно-контрольного сервера (C2), пингуя его для получения новых команд для выполнения на зараженном устройстве и в качестве хранилища украденных данных.

Каждая зараженная машина записывает свои данные в определенные ячейки Google Sheet, которые могут быть обозначены уникальными идентификаторами типа UUID, что обеспечивает изоляцию и более четкое управление взломанными системами.

Voldemort использует API Google со встроенным идентификатором клиента, секретом и маркером обновления для взаимодействия с Google Sheets, которые хранятся в его зашифрованной конфигурации.

Такой подход обеспечивает вредоносной программе надежный и высокодоступный канал C2, а также снижает вероятность того, что сетевое взаимодействие будет отмечено средствами безопасности. Поскольку Google Sheets широко используется на предприятиях, это также делает блокировку сервиса нецелесообразной.

В 2023 году китайская хакерская группа APT41 была замечена в использовании Google Sheets в качестве командно-контрольного сервера с помощью инструментария GC2.

Для защиты от этой кампании Proofpoint рекомендует ограничить доступ к внешним файлообменным сервисам доверенными серверами, блокировать соединения с TryCloudflare, если в них нет активной необходимости, и отслеживать подозрительные случаи.