Cyberprzestępcy wykorzystują Arkusze Google do kontroli złośliwego oprogramowania

Aktywność została zauważona w sieci 5 sierpnia 2024 r. Podszywa się pod organy podatkowe rządów w Europie, Azji i USA, a jej cel to zaatakowanie ponad 70 organizacji na całym świecie za pomocą specjalnego narzędzia o nazwie Voldemort. W jego arsenale jest gromadzenie informacji o ofierze oraz dostarczanie dodatkowych ładunków.

Docelowe sektory obejmują ubezpieczenia, lotnictwo, transport, środowisko akademickie, finanse, technologię, przemysł, opiekę zdrowotną, motoryzację, hotelarstwo, energetykę, rząd, media, produkcję, telekomunikację i organizacje charytatywne. Szczegółową dystrybucję kampanii widać poniżej.

Opisywana kampania cybernetycznego szpiegostwa nie została przypisana konkretnemu podmiotowi. W ramach ataków wysłano aż 20 000 wiadomości e-mail. Rzekomo pochodziły one od organów podatkowych w Stanach Zjednoczonych, Wielkiej Brytanii, Francji, Niemczech, Włoszech, Indiach i Japonii, informując odbiorców o zmianach w ich zeznaniach podatkowych i namawiając do kliknięcia adresów URL Google AMP Cache, które przekierowują użytkowników na stronę docelową.

Strona sprawdza ciąg User-Agent, aby ustalić, czy systemem operacyjnym jest Windows, a jeśli tak, wykorzystuje protokół search-ms: URI, aby wyświetlić plik skrótu Windows (LNK), który używa programu Adobe Acrobat Reader do maskowania się jako plik PDF. Wszystko po to, aby oszukać ofiarę i zmusić ją do uruchomienia kolejnej fazy ataku.

Jeśli LNK zostanie wykonany, wywoła program PowerShell i uruchomi Python.exe z trzeciego udziału WebDAV w tym samym tunelu (\library\), przekazując skrypt Pythona w czwartym udziale (\resource\) na tym samym hoście jako argument. Sprawia to, że Python uruchamia skrypt bez pobierania plików na komputer, a zależności są ładowane bezpośrednio z udziału WebDAV.

Skrypt Pythona jest przeznaczony do zbierania informacji o systemie i wysyłania danych w formie zakodowanego ciągu Base64 do domeny kontrolowanej przez aktora, po czym wyświetla użytkownikowi plik PDF i pobiera chroniony hasłem plik ZIP z OpenDrive. Archiwum ZIP zawiera z kolei dwa pliki: legalny plik wykonywalny „CiscoCollabHost.exe”, który jest otwarty na boczne ładowanie DLL, oraz złośliwy plik DLL „CiscoSparkLauncher.dll” (czyli Voldemort), który jest ładowany właśnie jako złośliwy DDL.

Voldemort to niestandardowy backdoor napisany w C, który zawiera możliwości gromadzenia informacji i ładowania plików następnego etapu. Złośliwe oprogramowanie wykorzystuje Arkusze Google do C&C, eksfiltrację danych i wykonywanie poleceń od operatorów.

Proofpoint opisał tę aktywność jako zgodną z zaawansowanymi trwałymi zagrożeniami (APT), ale niosącą ze sobą „wibracje cyberprzestępczości” ze względu na stosowanie technik popularnych w środowisku e-przestępczości.

„Aktorzy zagrożeń wykorzystują schematy plików URI, aby uzyskać dostęp do zewnętrznych zasobów udostępniania plików w celu przygotowania złośliwego oprogramowania, w szczególności WebDAV i Server Message Block (SMB). Odbywa się to za pomocą schematu „file://” i wskazania zdalnego serwera hostującego złośliwą zawartość” – opisują badacze.

To podejście jest coraz bardziej rozpowszechnione wśród rodzin złośliwego oprogramowania (XWorm, DarkGate), które działają jako brokerzy początkowego dostępu (IAB).

Kampania została nazwana nietypową, co podnosi prawdopodobieństwo, że aktorzy zagrożeń zarzucili szeroką sieć, zanim skupili się na małej grupie celów. Możliwe jest również, że atakujący, prawdopodobnie o różnym poziomie wiedzy technicznej, planowali zainfekować kilka organizacji.

„Chociaż wiele cech kampanii jest zgodnych z cyberprzestępczą działalnością, oceniamy, że jest to prawdopodobnie działalność szpiegowska prowadzona w celu wsparcia nieznanych jeszcze ostatecznych autorów” – oceniają specjaliści.