网络安全研究人员发现了一种新型恶意软件活动,该活动利用 Google 表格作为命令和控制 (C2) 机制。 Proofpoint 从 2024 年 8 月 5 日开始检测到该活动,它冒充欧洲、亚洲和美国政府的税务机关,目标是通过名为 Voldemort 的定制工具针对全球 70 多个组织,该工具能够收集信息并提供额外的有效载荷。 目标行业包括保险、航空航天、运输、学术界、金融、技术、工业、医疗保健、汽车、酒店、能源、政府、媒体、制造、电信和社会福利组织。 可疑的网络间谍活动尚未归因于特定的指定威胁行为者。作为攻击的一部分,已经发送了多达 20,000 封电子邮件。 这些电子邮件声称来自美国、英国、法国、德国、意大利、印度和日本的税务机关,提醒收件人其税务申报的变化,并敦促他们点击 Google AMP 缓存 URL,将用户重定向到中间登录页面。 该页面的作用是检查 User-Agent 字符串以确定操作系统是否为 Windows,如果是,则利用 search-ms: URI 协议处理程序显示一个 Windows 快捷方式 (LNK) 文件,该文件使用 Adobe Acrobat Reader 伪装成 PDF 文件,以试图诱骗受害者启动它。 “如果执行 LNK,它将调用 PowerShell 从同一隧道 (\library\) 上的第三个 WebDAV 共享运行Python.exe,并在同一主机上的第四个共享 (\resource\) 上传递 Python 脚本作为参数,”Proofpoint 研究人员 Tommy Madjar、Pim Trouerbach 和 Selena Larson 说。 “这会导致 Python 在不将任何文件下载到计算机的情况下运行脚本,直接从 WebDAV 共享加载依赖项。” Python 脚本旨在收集系统信息,并以 Base64 编码字符串的形式将数据发送到参与者控制的域,然后向用户显示诱饵 PDF,并从 OpenDrive 下载受密码保护的 ZIP 文件。 就其本身而言,ZIP 存档包含两个文件,一个容易受到 DLL 旁加载的合法可执行“CiscoCollabHost.exe”和一个旁加载的恶意 DLL“CiscoSparkLauncher.dll”(即 Voldemort)文件。 Voldemort 是一个用 C 语言编写的自定义后门,具有信息收集和加载下一阶段有效载荷的功能,恶意软件利用 Google 表格进行 C2、数据泄露和执行操作员的命令。 Proofpoint 将该活动描述为与高级持续威胁 (APT) 保持一致,但由于使用了电子犯罪领域流行的技术,因此带有“网络犯罪氛围”。 “威胁行为者滥用文件架构 URI 来访问用于恶意软件暂存的外部文件共享资源,特别是 WebDAV 和服务器消息块 (SMB)。这是通过使用架构’file://’并指向托管恶意内容的远程服务器来完成的,“研究人员说。 这种方法在充当初始访问代理 (IAB) 的恶意软件家族中越来越普遍,例如 Latrodectus、DarkGate 和 XWorm。 此外,Proofpoint 表示,它能够读取 Google Sheet 的内容,总共确定了六名受害者,其中包括一名据信是沙盒或“已知研究人员”的受害者。
研究人员说:“虽然许多活动特征与网络犯罪威胁活动一致,但我们评估这可能是为支持尚不清楚的最终目标而进行的间谍活动。 “巧妙而复杂的能力与非常基本的技术和功能相结合,使得评估威胁行为者的能力水平和高度自信地确定活动的最终目标变得困难。” 这一发展是在 Netskope Threat Labs 发现 Latrodectus 恶意软件的更新版本(1.4 版)之际进行的,该恶意软件带有一个新的 C2 端点,并添加了两个新的后门命令,允许它从指定服务器下载 shellcode 并从远程位置检索任意文件。 “Latrodectus 发展得非常快,为其有效载荷添加了新功能,”安全研究员 Leandro Fróes 说。“了解应用于其有效载荷的更新使防御者能够正确设置自动管道,并使用这些信息进一步寻找新变体。”该活动被贴上了不寻常的标签,增加了威胁行为者在锁定一小群目标之前撒下大网的可能性。攻击者也可能具有不同的技术专业知识水平,计划感染多个组织。
|