安全研究人员发现了一种新型恶意软件活动,它利用 Google Sheets(电子表格) 作为命令和控制 (C2) 机制。
Proofpoint 从 2024 年 8 月 5 日开始检测到这一活动,它冒充了欧洲、亚洲和美国政府的税务机关,目的是通过一种名为 Voldemort 的定制工具瞄准全球 70 多个组织,该工具可以收集信息并传递额外的有效载荷。
目标行业包括保险、航空航天、交通、学术、金融、技术、工业、医疗保健、汽车、酒店、能源、政府、媒体、制造、电信和社会福利组织。
此次疑似网络间谍活动尚未被归咎于特定黑客组织,攻击活动发送了多达 20,000 封电子邮件。
这些电子邮件声称来自美国、英国、法国、德国、意大利、印度和日本的税务机关,提醒收件人有关其税务申报的变化,并敦促他们点击将用户重定向到中间登录页面的 Google AMP Cache URL。
诱饵电子邮件
该页面的作用是检查User-Agent 字符串以确定操作系统是否为 Windows,如果是,则利用search-ms:URI 协议处理程序显示 Windows 快捷方式 (LNK) 文件,该文件使用 Adobe Acrobat Reader 伪装成 PDF 文件,试图诱骗受害者启动它。
Proofpoint 研究人员 Tommy Madjar、Pim Trouerbach 和 Selena Larson 表示:“如果执行 LNK,它将调用 PowerShell 从同一隧道上的第三个 WebDAV 共享(\library\)运行 Python.exe,并将同一主机上的第四个共享(\resource\)上的 Python 脚本作为参数传递。这会导致 Python 运行脚本而不将任何文件下载到计算机,而是直接从 WebDAV 共享加载依赖项。”
该 Python 脚本旨在收集系统信息并以 Base64 编码字符串的形式将数据发送到攻击者控制的域,然后向用户显示诱饵 PDF 并从 OpenDrive 下载受密码保护的 ZIP 文件。
诱饵PDF
该 ZIP 存档包含两个文件,一个合法的可执行文件“CiscoCollabHost.exe”,容易受到 DLL 侧载攻击,另一个是恶意 DLL“CiscoSparkLauncher.dll”(即 Voldemort)文件,该文件容易受到侧载攻击。
Voldemort 是一个用 C 语言编写的自定义后门,具有信息收集和加载下一阶段有效负载的功能,该恶意软件利用 Google Sheets 进行 C2、数据泄露以及执行来自操作员的命令。
Proofpoint 称该活动与高级持续性威胁 (APT) 有关,但由于使用了电子犯罪领域流行的技术,因此带有“网络犯罪色彩”。
“攻击者滥用文件架构 URI 来访问外部文件共享资源以进行恶意软件分阶段,特别是 WebDAV 和服务器消息块 (SMB)。这是通过使用架构‘file://’并指向托管恶意内容的远程服务器来实现的。”研究人员说。
这种方法在充当初始访问代理(IAB)的恶意软件家族中越来越 流行,例如Latrodectus、DarkGate和XWorm。
此外,Proofpoint 表示它能够读取 Google Sheet 的内容,总共识别出六名受害者,其中一名被认为是沙盒或“已知研究人员”。
此次攻击活动被认为不同寻常,这增加了攻击者在锁定一小部分目标之前撒下大网的可能性。攻击者的技术水平可能各不相同,他们也有可能计划感染多个组织。
研究人员表示:“虽然该活动的许多特征与网络犯罪威胁活动相符,但我们认为这很可能是为了支持尚未知晓的最终目标而进行的间谍活动。这种巧妙而复杂的能力与非常基本的技术和功能的混合,使得评估攻击者的能力水平和高度自信地确定该活动的最终目标变得十分困难。”
这一进展是在 Netskope 威胁实验室发现了 Latrodectus 的更新版本(1.4 版)之后取得的,该更新版本配备了一个新的 C2 端点,并增加了两个新的后门命令,允许它从指定服务器下载 shellcode 并从远程位置检索任意文件。
安全研究员 Leandro Fróes表示:“Latrodectus 的进化速度非常快,为其有效载荷添加了新功能。了解其有效载荷的更新可以让防御者保持自动管道的正确设置,并利用这些信息进一步寻找新的变种。”
转自军哥网络安全读报
暂无评论内容