VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch phần mềm độc hại mới sử dụng Google Trang tính làm cơ chế chỉ huy và kiểm soát (C2).

Hoạt động này, được Proofpoint phát hiện bắt đầu từ ngày 5 tháng 8 năm 2024, mạo danh cơ quan thuế của các chính phủ ở Châu Âu, Châu Á và Hoa Kỳ, với mục tiêu nhắm mục tiêu vào hơn 70 tổ chức trên toàn thế giới bằng một công cụ chuyên dụng có tên là Voldemort, được trang bị để thu thập thông tin và cung cấp thêm dữ liệu.


Các lĩnh vực mục tiêu bao gồm bảo hiểm, hàng không vũ trụ, giao thông vận tải, học thuật, tài chính, công nghệ, công nghiệp, chăm sóc sức khỏe, ô tô, khách sạn, năng lượng, chính phủ, truyền thông, sản xuất, viễn thông và các tổ chức phúc lợi xã hội.

Chiến dịch gián điệp mạng bị nghi ngờ không được quy cho một tác nhân đe dọa cụ thể nào. Có tới 20.000 email đã được gửi như một phần của các cuộc tấn công.

Những email này tự nhận là từ cơ quan thuế ở Hoa Kỳ, Vương quốc Anh, Pháp, Đức, Ý, Ấn Độ và Nhật Bản, cảnh báo người nhận về những thay đổi trong hồ sơ khai thuế của họ và thúc giục họ nhấp vào URL bộ nhớ đệm AMP của Google để chuyển hướng người dùng đến trang đích trung gian.

Trang này sẽ kiểm tra chuỗi User-Agent để xác định xem hệ điều hành có phải là Windows hay không và nếu có, sẽ sử dụng trình xử lý giao thức URI search-ms: để hiển thị tệp lối tắt Windows (LNK) sử dụng Adobe Acrobat Reader để ngụy trang thành tệp PDF nhằm lừa nạn nhân khởi chạy tệp đó.

Các nhà nghiên cứu Tommy Madjar, Pim Trouerbach và Selena Larson của Proofpoint cho biết: "Nếu LNK được thực thi, nó sẽ gọi PowerShell để chạy Python.exe từ một chia sẻ WebDAV thứ ba trên cùng một đường hầm (library), truyền một tập lệnh Python trên một chia sẻ thứ tư (resource) trên cùng một máy chủ dưới dạng đối số".

"Điều này khiến Python chạy tập lệnh mà không cần tải bất kỳ tệp nào xuống máy tính, trong khi các phần phụ thuộc được tải trực tiếp từ chia sẻ WebDAV."

Tập lệnh Python được thiết kế để thu thập thông tin hệ thống và gửi dữ liệu dưới dạng chuỗi được mã hóa Base64 đến miền do tác nhân kiểm soát, sau đó nó hiển thị tệp PDF giả cho người dùng và tải xuống tệp ZIP được bảo vệ bằng mật khẩu từ OpenDrive.

Về phần mình, tệp ZIP chứa hai tệp, một tệp thực thi hợp lệ "CiscoCollabHost.exe" dễ bị tải DLL từ bên ngoài và một tệp DLL độc hại "CiscoSparkLauncher.dll" (tức là Voldemort) được tải từ bên ngoài.

Voldemort là một backdoor tùy chỉnh được viết bằng ngôn ngữ C, có khả năng thu thập thông tin và tải các dữ liệu ở giai đoạn tiếp theo, trong đó phần mềm độc hại này sử dụng Google Trang tính để C2, đánh cắp dữ liệu và thực thi lệnh từ người điều hành.

Proofpoint mô tả hoạt động này có liên quan đến các mối đe dọa dai dẳng nâng cao (APT) nhưng mang "cảm giác tội phạm mạng" do sử dụng các kỹ thuật phổ biến trong lĩnh vực tội phạm mạng.

"Những kẻ đe dọa lợi dụng URI lược đồ tệp để truy cập vào các tài nguyên chia sẻ tệp bên ngoài để dàn dựng phần mềm độc hại, cụ thể là WebDAV và Server Message Block (SMB). Điều này được thực hiện bằng cách sử dụng lược đồ 'file://' và trỏ đến một máy chủ từ xa lưu trữ nội dung độc hại", các nhà nghiên cứu cho biết.

Cách tiếp cận này ngày càng phổ biến trong các họ phần mềm độc hại hoạt động như các nhà môi giới truy cập ban đầu (IAB), chẳng hạn như Latrodectus, DarkGate và XWorm.

Hơn nữa, Proofpoint cho biết họ có thể đọc được nội dung của Google Sheet, xác định được tổng cộng sáu nạn nhân, bao gồm một nạn nhân được cho là thành viên thử nghiệm hoặc "nhà nghiên cứu nổi tiếng".

Chiến dịch này được coi là bất thường, làm dấy lên khả năng rằng những kẻ tấn công đã giăng lưới rộng trước khi nhắm vào một nhóm nhỏ mục tiêu. Cũng có khả năng những kẻ tấn công, có thể có nhiều cấp độ chuyên môn kỹ thuật khác nhau, đã lên kế hoạch lây nhiễm cho một số tổ chức.

Các nhà nghiên cứu cho biết: "Mặc dù nhiều đặc điểm của chiến dịch phù hợp với hoạt động đe dọa của tội phạm mạng, chúng tôi đánh giá đây có khả năng là hoạt động gián điệp được thực hiện để hỗ trợ cho các mục tiêu cuối cùng chưa được biết".

"Sự kết hợp giữa khả năng thông minh và tinh vi theo kiểu Frankenstein, kết hợp với các kỹ thuật và chức năng rất cơ bản, khiến cho việc đánh giá mức độ năng lực của tác nhân đe dọa và xác định với độ tin cậy cao các mục tiêu cuối cùng của chiến dịch trở nên khó khăn."

Sự phát triển này diễn ra khi Netskope Threat Labs phát hiện ra phiên bản cập nhật của phần mềm độc hại Latrodectus (phiên bản 1.4) đi kèm với điểm cuối C2 mới và thêm hai lệnh cửa sau mới cho phép tải xuống shellcode từ một máy chủ được chỉ định và truy xuất các tệp tùy ý từ một vị trí từ xa.

"Latrodectus đã phát triển khá nhanh, thêm các tính năng mới vào tải trọng của nó", nhà nghiên cứu bảo mật Leandro Fróes cho biết. "Việc hiểu được các bản cập nhật được áp dụng cho tải trọng của nó cho phép những người bảo vệ giữ cho các đường ống tự động được thiết lập đúng cách cũng như sử dụng thông tin để tiếp tục săn lùng các biến thể mới".