Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Voldemort используют Google Таблицы для кибершпионажа

03/09/24

google-tables-geometric-hero

В августе этого года исследователи из Proofpoint обнаружили необычную кампанию по распространению вредоносного ПО, названного злоумышленниками «Voldemort», что является прямой отсылкой на магическую вселенную Джоан Роулинг. Данное вредоносное ПО подозревается в шпионаже и обладает возможностями сбора информации и загрузки дополнительных компонентов, пишет Securitylab.

Выявленная вредоносная кампания отличается необычными методами, включая использование Google Таблиц для обеспечения C2-функциональности, что редко встречается в подобных зловредных операциях. Атакующие выдавали себя за налоговые органы различных стран, включая США, Великобританию, Францию, Германию, Италию, Индию и Японию, и направляли фальшивые уведомления о налоговых изменениях организациям по всему миру.

С 5 августа 2024 года злоумышленники направили более 20 000 сообщений в 70 организаций по всему миру. В пике атаки, 17 августа, количество сообщений резко возросло до 6000 в день. Основной целью атакующих, по мнению Proofpoint, является сбор разведывательных данных, хотя окончательные цели пока остаются неизвестными.

«Voldemort» написан на языке C и использует различные методы для сокрытия своей активности, в том числе маскировку под обычные файлы и запуск через PowerShell без сохранения на компьютер жертвы. Интересно, что вредоносное ПО использует законные инструменты, такие как «CiscoCollabHost.exe», для выполнения своих функций.

Кампанию отличает применение методов, характерных как для кибершпионажа, так и для киберпреступности. Злоумышленники используют такие техники, как злоупотребление файлами с расширением «.search-ms», чтобы скрыть свою активность и вводить жертв в заблуждение относительно источника угрозы.

Несмотря на масштабы и сложность атаки, Proofpoint не смогла с высокой уверенностью определить, какой именно группировке принадлежит данная активность. Эксперты считают, что это может быть новая или малоизвестная группа, обладающая как базовыми, так и продвинутыми навыками.

Вредоносное ПО «Voldemort» активно использует Google Таблицы для обмена данными между заражёнными системами и командным сервером, что делает его уникальным в своём роде. В то же время, использование таких инструментов подчёркивает, что даже шпионские группы могут применять методы, характерные для киберпреступников, что усложняет их выявление и определение.

Темы:GoogleУгрозыкибершпионажProofpoint
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...