03/09/24
В августе этого года исследователи из Proofpoint обнаружили необычную кампанию по распространению вредоносного ПО, названного злоумышленниками «Voldemort», что является прямой отсылкой на магическую вселенную Джоан Роулинг. Данное вредоносное ПО подозревается в шпионаже и обладает возможностями сбора информации и загрузки дополнительных компонентов, пишет Securitylab.
Выявленная вредоносная кампания отличается необычными методами, включая использование Google Таблиц для обеспечения C2-функциональности, что редко встречается в подобных зловредных операциях. Атакующие выдавали себя за налоговые органы различных стран, включая США, Великобританию, Францию, Германию, Италию, Индию и Японию, и направляли фальшивые уведомления о налоговых изменениях организациям по всему миру.
С 5 августа 2024 года злоумышленники направили более 20 000 сообщений в 70 организаций по всему миру. В пике атаки, 17 августа, количество сообщений резко возросло до 6000 в день. Основной целью атакующих, по мнению Proofpoint, является сбор разведывательных данных, хотя окончательные цели пока остаются неизвестными.
«Voldemort» написан на языке C и использует различные методы для сокрытия своей активности, в том числе маскировку под обычные файлы и запуск через PowerShell без сохранения на компьютер жертвы. Интересно, что вредоносное ПО использует законные инструменты, такие как «CiscoCollabHost.exe», для выполнения своих функций.
Кампанию отличает применение методов, характерных как для кибершпионажа, так и для киберпреступности. Злоумышленники используют такие техники, как злоупотребление файлами с расширением «.search-ms», чтобы скрыть свою активность и вводить жертв в заблуждение относительно источника угрозы.
Несмотря на масштабы и сложность атаки, Proofpoint не смогла с высокой уверенностью определить, какой именно группировке принадлежит данная активность. Эксперты считают, что это может быть новая или малоизвестная группа, обладающая как базовыми, так и продвинутыми навыками.
Вредоносное ПО «Voldemort» активно использует Google Таблицы для обмена данными между заражёнными системами и командным сервером, что делает его уникальным в своём роде. В то же время, использование таких инструментов подчёркивает, что даже шпионские группы могут применять методы, характерные для киберпреступников, что усложняет их выявление и определение.
