تقوم حملة برامج ضارة جديدة بنشر برنامج خلفي غير موثق سابقًا يسمى “Voldemort” إلى المنظمات في جميع أنحاء العالم، منتحلاً صفة وكالات ضريبية من الولايات المتحدة وأوروبا وآسيا.
وبحسب تقرير صادر عن شركة Proofpoint، بدأت الحملة في 5 أغسطس 2024، ونشرت أكثر من 20 ألف رسالة بريد إلكتروني إلى أكثر من 70 منظمة مستهدفة، لتصل إلى 6 آلاف رسالة في يوم واحد في ذروة نشاطها.
أكثر من نصف المنظمات المستهدفة تعمل في قطاعات التأمين والفضاء والنقل والتعليم. ولا أحد يعرف الجهة المسؤولة عن هذه الحملة، لكن Proofpoint تعتقد أن الهدف الأكثر ترجيحًا هو إجراء تجسس إلكتروني.
الهجوم مشابه لما حدث في Proofpoint موصوف في بداية الشهر ولكنها تضمنت مجموعة مختلفة من البرامج الضارة في المرحلة النهائية.
انتحال صفة السلطات الضريبية
جديد تقرير برووف بوينت وتقول إن المهاجمين يقومون بصياغة رسائل تصيد بالبريد الإلكتروني لتتطابق مع موقع المنظمة المستهدفة استنادًا إلى المعلومات العامة.
تنتحل رسائل التصيد الاحتيالي صفة السلطات الضريبية في بلد المنظمة، وتزعم أن هناك معلومات ضريبية محدثة وتتضمن روابط إلى مستندات مرتبطة.
المصدر: Proofpoint
يؤدي النقر فوق الرابط إلى توجيه المستلمين إلى صفحة مقصودة مستضافة على InfinityFree، والتي تستخدم عناوين URL لذاكرة التخزين المؤقت AMP من Google لإعادة توجيه الضحية إلى صفحة تحتوي على زر “انقر لعرض المستند”.
عند النقر على الزر، ستتحقق الصفحة من وكيل المستخدم الخاص بالمتصفح، وإذا كان مخصصًا لنظام التشغيل Windows، فسيتم إعادة توجيه الهدف إلى عنوان URL الخاص بـ search-ms (بروتوكول البحث في Windows) الذي يشير إلى عنوان URL الخاص بـ TryCloudflare. يتم إعادة توجيه المستخدمين غير المستخدمين لنظام التشغيل Windows إلى عنوان URL فارغ على Google Drive لا يقدم أي محتوى ضار.
إذا تفاعل الضحية مع ملف search-ms، يتم تشغيل مستكشف Windows لعرض ملف LNK أو ZIP متخفيًا في شكل ملف PDF.
استخدام بحث-ms: URI لديهتصبح شعبية في الآونة الأخيرة، أصبح من الشائع استخدام حملات التصيد الاحتيالي، فعلى الرغم من استضافة هذا الملف على مشاركة WebDAV/SMB خارجية، يتم جعله يبدو وكأنه موجود محليًا في مجلد التنزيلات لخداع الضحية لفتحه.
المصدر: Proofpoint
يؤدي القيام بذلك إلى تنفيذ نص برمجي بلغة Python من مشاركة WebDAV أخرى دون تنزيله على المضيف، والذي يقوم بجمع معلومات النظام لإنشاء ملف تعريف للضحية. وفي الوقت نفسه، يتم عرض ملف PDF وهمي لإخفاء النشاط الضار.
المصدر: Proofpoint
يقوم البرنامج النصي أيضًا بتنزيل ملف Cisco WebEx صالح (CiscoCollabHost.exe) وDLL ضار (CiscoSparkLauncher.dll) لتحميل Voldemort باستخدام التحميل الجانبي لـ DLL.
إساءة استخدام جداول بيانات Google
Voldemort هو برنامج خلفي قائم على لغة C ويدعم مجموعة واسعة من الأوامر وإجراءات إدارة الملفات، بما في ذلك الاستخراج، وإدخال حمولات جديدة إلى النظام، وحذف الملفات.
قائمة الأوامر المدعومة موجودة أدناه:
- بينغ – اختبار الاتصال بين البرامج الضارة وخادم C2.
- مدير – يقوم باسترجاع قائمة الدليل من النظام المصاب.
- تحميل – تنزيل الملفات من النظام المصاب إلى خادم C2.
- رفع – تحميل الملفات من خادم C2 إلى النظام المصاب.
- تنفيذي – تنفيذ أمر أو برنامج محدد على النظام المصاب.
- ينسخ – نسخ الملفات أو المجلدات داخل النظام المصاب.
- يتحرك – نقل الملفات أو المجلدات داخل النظام المصاب.
- ينام – يضع البرامج الضارة في وضع السكون لمدة محددة، والتي لن تقوم خلالها بأي أنشطة.
- مخرج – ينهي عمل البرامج الضارة على النظام المصاب.
من الميزات البارزة لبرنامج Voldemort أنه يستخدم Google Sheets كخادم للأوامر والتحكم (C2)، حيث يرسل إليه أوامر للحصول على أوامر جديدة لتنفيذها على الجهاز المصاب وكمستودع للبيانات المسروقة.
تكتب كل آلة مصابة بياناتها في خلايا محددة داخل Google Sheet، والتي يمكن تحديدها بواسطة معرفات فريدة مثل UUIDs، مما يضمن العزلة والإدارة الأكثر وضوحًا للأنظمة المخترقة.
المصدر: Proofpoint
يستخدم Voldemort واجهة برمجة تطبيقات Google مع معرف عميل مضمن وسر ورمز تحديث للتفاعل مع جداول بيانات Google، والتي يتم تخزينها في تكوينها المشفر.
يوفر هذا النهج للبرامج الضارة قناة C2 موثوقة ومتاحة بدرجة عالية، كما يقلل من احتمالية تمييز أدوات الأمان لاتصالات الشبكة. ونظرًا لاستخدام Google Sheets بشكل شائع في المؤسسات، فإنه يجعل حظر الخدمة غير عملي أيضًا.
في عام 2023، تم إطلاق مجموعة القرصنة الصينية APT41 تم رؤيته سابقًا باستخدام جداول بيانات Google كخادم قيادة وتحكم من خلال استخدام الفريق الأحمرمجموعة أدوات GC2.
للدفاع ضد هذه الحملة، توصي Proofpoint بالحد من الوصول إلى خدمات مشاركة الملفات الخارجية إلى الخوادم الموثوقة، وحظر الاتصالات مع TryCloudflare إذا لم تكن هناك حاجة إليها بشكل نشط، ومراقبة تنفيذ PowerShell المشبوه.