Атакующий системы с помощью Google Таблиц новый зловред обнаружен исследователями

Новая вредоносная кампания распространяет ранее не документированный бэкдор под названием Voldemort среди организаций по всему миру, маскируясь под налоговые органы США, Европы и Азии.
Атакующий системы с помощью Google Таблиц новый зловред обнаружен исследователями

Атакующий системы с помощью Google Таблиц новый зловред обнаружен исследователями. Фото: СС0

Согласно отчету исследователей безопасности из компании Proofpoint, серия атак началась 5 августа 2024 года и за это время было отправлено более 20 тыс. писем в более чем 70 целевых организаций, а на пике активности число таких писем достигло 6 тыс. за один день.

Более половины всех целевых организаций находятся в страховом, аэрокосмическом, транспортном и образовательном секторах. Злоумышленник, стоящий за этой кампанией, неизвестен, но команда Proofpoint считает, что наиболее вероятной целью является кибершпионаж.

Утверждается, что злоумышленники создают фишинговые письма, чтобы определить местоположение целевой организации на основе общедоступной информации.

Фишинговые письма рассылаются от имени налоговых органов страны организации, в них утверждается, что имеется обновленная налоговая информация, и содержатся ссылки на соответствующие документы.

При нажатии на ссылку получатели переходят на целевую страницу, размещенную на InfinityFree, которая использует URL-адреса кэша Google AMP для перенаправления жертвы на страницу с кнопкой «Нажмите, чтобы просмотреть документ».

При нажатии кнопки страница проверит User Agent браузера и, если он для Windows, перенаправит цель на search-ms URI (протокол поиска Windows), который указывает на туннелируемый TryCloudflare URI. Пользователи, не являющиеся пользователями Windows, перенаправляются на пустой URL-адрес Google Drive, который не содержит вредоносного контента.

Если жертва взаимодействует с файлом search-ms, Проводник Windows отображает файл LNK или ZIP, замаскированный под PDF.

Использование search-ms: URI в последнее время стало популярным в фишинговых кампаниях, поскольку, хотя этот файл размещен на внешнем ресурсе WebDAV/SMB, создается впечатление, что он находится локально в папке «Загрузки», чтобы обманом заставить жертву открыть его.

При этом выполняется скрипт Python из другого общего ресурса WebDAV без его загрузки на хост, который собирает системную информацию для профилирования жертвы. В то же время отображается поддельный PDF-файл, чтобы скрыть вредоносную активность.

Voldemort — это бэкдор на языке C, который поддерживает широкий спектр команд и действий по управлению файлами, включая эксфильтрацию, внедрение новых полезных нагрузок в систему и удаление файлов.

Примечательной особенностью Voldemort является то, что он использует Google Таблицы в качестве сервера управления и контроля (C2), отправляя ему запросы на получение новых команд для выполнения на зараженном устройстве, а также в качестве хранилища украденных данных.

Каждая зараженная машина записывает свои данные в определенные ячейки в Google Sheet, которые могут быть обозначены уникальными идентификаторами, такими как UUID, что обеспечивает изоляцию и более четкое управление взломанными системами.

Voldemort использует API Google со встроенным идентификатором клиента, секретом и токеном обновления для взаимодействия с Google Таблицами, которые хранятся в его зашифрованной конфигурации.

Такой подход обеспечивает вредоносному ПО надежный и высокодоступный канал C2, а также снижает вероятность того, что сетевое взаимодействие будет отмечено средствами безопасности. Поскольку Google Sheets широко используется на предприятии, это также делает блокировку сервиса непрактичной.

Для защиты от этой серии атак, команда Proofpoint рекомендует ограничить доступ к внешним службам обмена файлами, ограничив его доверенными серверами, блокируя подключения к TryCloudflare, если в них нет активной необходимости, и осуществляя мониторинг на предмет подозрительного выполнения PowerShell.

Startpack подготовил список продуктов и сервисов, призванные помочь людям без навыков программирования создавать собственные программы и приложения. Обычно No-code инструменты направлены на одну отрасль: создание сайтов, почтовых рассылок, аналитику или создание баз данных. Но есть и такие представители, которые могут обеспечить разработку полноценной программы без использования кода, работающей как полноценный сервис готовый к дистрибьюции. No-code стоит в разы дешевле традиционной разработки. Это повлияло на развитие и популярность этого направления.

Статьи по теме

Упомянутый сервис

Google Таблицы Онлайн-приложение для работы с электронными таблицами.
Онлайн-приложение для работы с электронными таблицами.

1 комментарий

Добавить комментарий

Больше интересного

Актуальное

Администрация Google увеличивает вознаграждение за обнаружение уязвимостей Chrome до 250 000 долларов
В Broadcom представили новый инструмент для работы с частным облаком VMware Cloud Foundation 9
Искусственный интеллект в Zoom создаст умные именные теги для идентификации всех участников вызова
Ещё…