محققان امنیت سایبری یک کمپین بدافزار جدید را کشف کردهاند که از Google Sheets بهعنوان مکانیزم فرمان و کنترل (C2) استفاده میکند.
این فعالیت که توسط Proofpoint از ۵ اوت ۲۰۲۴ شناسایی شد[۱]، نوعی جعل هویت مقامات مالیاتی از دولتهای اروپا، آسیا و ایالاتمتحده است و هدف آن هدف قرار دادن بیش از ۷۰ سازمان در سراسر جهان با استفاده از ابزاری سفارشی به نام Voldemort است که برای جمعآوری اطلاعات و ارائه payloadهای اضافی مجهز شده است.
بخشهای هدف شامل بیمه، هوافضا، حملونقل، دانشگاه، امور مالی، فناوری، صنعتی، مراقبتهای بهداشتی، خودرو، مهماننوازی، انرژی، دولت، رسانهها، تولید، مخابرات و سازمانهای منافع اجتماعی است.
این کمپین مظنون به جاسوسی سایبری به یک عامل تهدیدکننده خاص نسبت داده نشده است. بیش از ۲۰۰۰۰ پیام ایمیل بهعنوان بخشی از این حملات ارسال شده است.
این ایمیلها ادعا میکنند که از سوی مقامات مالیاتی در ایالاتمتحده، بریتانیا، فرانسه، آلمان، ایتالیا، هند و ژاپن ارسال شدهاند و به دریافتکنندگان در مورد تغییرات در پروندههای مالیاتی خود هشدار میدهند و از آنها میخواهند روی URLهای حافظه پنهان Google AMP کلیک کنند که کاربران را به یک واسطه هدایت میکند.
کاری که صفحه انجام میدهد این است که رشته [۲]User-Agent را برای تعیین اینکه آیا سیستمعامل ویندوز است بررسی میکند و اگر چنین است، از کنترلکننده پروتکل [۳]search-ms: URI برای نمایش یک فایل میانبر ویندوز (LNK) استفاده کنید که از Adobe Acrobat Reader برای مخفی کردن بهعنوان یک فایل PDF در تلاش برای فریب قربانی برای راهاندازی آن استفاده میکند.
“اگر LNK اجرا شود، PowerShell را فراخوانی میکند تا Python.exe را از یک اشتراک WebDAV سوم در همان تونل (\library\) اجرا کند، و یک اسکریپت پایتون را روی اشتراک چهارم (\resource\) روی همان میزبانی که تامی ماجار، پیم تروئرباخ و سلنا لارسون، محققان Proofpoint گفتند.
“این باعث میشود پایتون اسکریپت را بدون بارگیری هیچ فایلی در رایانه اجرا کند و وابستگیها مستقیماً از اشتراک WebDAV بارگیری شوند.”
اسکریپت پایتون برای جمعآوری اطلاعات سیستم و ارسال دادهها در قالب یک رشته رمزگذاری شده با Base64 به یک دامنه کنترلشده توسط بازیگر طراحی شده است، پسازآن یک PDF فریبنده را به کاربر نشان میدهد و یک فایل ZIP محافظتشده با رمز عبور را از OpenDrive دانلود میکند.
آرشیو ZIP، بهنوبه خود، شامل دو فایل است، یک فایل اجرایی قانونی “CiscoCollabHost.exe” که مستعد بارگذاری جانبی DLL است و یک فایل DLL مخرب “CiscoSparkLauncher.dll” (یعنی Voldemort) که در کنار آن بارگذاری شده است.
Voldemort یک درب پشتی سفارشی است که به زبان C نوشته شده است که دارای قابلیتهایی برای جمعآوری اطلاعات و بارگیری payloadهای مرحله بعدی است و این بدافزار از Google Sheets برای C2، استخراج دادهها و اجرای دستورات اپراتورها استفاده میکند.
Proofpoint این فعالیت را با تهدیدهای پایدار پیشرفته (APT) همسو میکند، اما به دلیل استفاده از تکنیکهای رایج در چشمانداز جرائم الکترونیکی، دارای “حالتهای جنایت سایبری” است.
محققان دراینباره گفتند: “بازیگران تهدید از URIهای طرحواره فایل برای دسترسی به منابع به اشتراکگذاری فایل خارجی برای مرحلهبندی بدافزار، بهویژه WebDAV و بلاک پیام سرور (SMB) سوءاستفاده میکنند. این کار با استفاده از طرح “file://” و اشاره به یک سرور راه دور میزبان محتوای مخرب انجام میشود. “
این رویکرد بهطور فزایندهای[۴] در میان خانوادههای بدافزار که بهعنوان واسطههای دسترسی اولیه (IAB) عمل میکنند، مانند [۵]Latrodectus، [۶]DarkGate و XWorm[7] رایج بوده است[۸].
علاوه بر این، Proofpoint گفت که توانسته محتویات Google Sheet را بخواند و درمجموع شش قربانی را شناسایی کند، ازجمله یکی که گفته میشود یک sandbox یا یک “محقق شناختهشده” است.
این کمپین غیرمعمول نامگذاری شده است، و این احتمال را افزایش میدهد که بازیگران تهدید قبل از اینکه به مجموعه کوچکی از اهداف وارد شوند، شبکه گستردهای را ایجاد کنند. همچنین این احتمال وجود دارد که مهاجمان، احتمالاً با سطوح مختلف تخصص فنی، قصد داشته باشند چندین سازمان را آلوده کنند.
محققان گفتند: «درحالیکه بسیاری از ویژگیهای کمپین با فعالیتهای تهدید مجرمانه سایبری همسو هستند، ما ارزیابی میکنیم که این احتمالاً یک فعالیت جاسوسی است که برای حمایت از اهداف نهایی ناشناخته انجام میشود.»
ادغام فرانکشتاینی از قابلیتهای هوشمندانه و پیچیده، همراه با تکنیکها و کارکردهای بسیار ابتدایی، ارزیابی سطح توانایی عامل تهدید و تعیین با اطمینان بالا اهداف نهایی کمپین را دشوار میکند.»
این توسعه زمانی انجام میشود که Netskope Threat Labs نسخه بهروز شده بدافزار Latrodectus (نسخه ۱٫۴) را کشف کرده است که با یک نقطه پایانی جدید C2 ارائه میشود و دو دستور در پشتی جدید اضافه میکند که به آن اجازه میدهد کد پوسته را از یک سرور مشخصشده دانلود کند و فایلهای دلخواه را از یک مکان راه دور بازیابی کند.
Leandro Fróes، محقق امنیتی گفت[۹]: «Latrodectus بسیار سریع در حال تکامل است و ویژگیهای جدیدی را به محموله خود اضافه میکند. درک بهروزرسانیهای اعمالشده برای محموله آن به مدافعان این امکان را میدهد که pipelineهای خودکار را بهدرستی تنظیم کنند و همچنین از اطلاعات برای جستجوی بیشتر برای انواع جدید استفاده کنند.
منابع
[۱] https://www.proofpoint.com/us/blog/threat-insight/malware-must-not-be-named-suspected-espionage-campaign-delivers-voldemort
[۲] https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/User-Agent
[۳] https://thehackernews.com/2024/06/new-phishing-campaign-deploys.html
[۴] https://apa.aut.ac.ir/?p=10160
[۵] https://thehackernews.com/2024/06/cybercriminals-exploit-free-software.html
[۶] https://thehackernews.com/2024/05/latrodectus-malware-loader-emerges-as.html
[۷] https://thehackernews.com/2024/07/darkgate-malware-exploits-samba-file.html
[۸] https://thehackernews.com/2024/08/cybercriminals-abusing-cloudflare.html
[۹] https://www.netskope.com/blog/latrodectus-rapid-evolution-continues-with-latest-new-payload-features
[۱۰] https://thehackernews.com/2024/08/cyberattackers-exploit-google-sheets.html
ثبت ديدگاه