Исследователи компании Proofpoint обнаружили уникальную вредоносную кампанию, которую они окрестили «Voldemort»
Voldemort Campaign
Эта кампания, которая, по мнению Proofpoint, скорее всего, мотивирована шпионажем, включает в себя использование пользовательского бэкдора с возможностями сбора разведданных и доставки полезной нагрузки. Вредоносная программа распространяется с помощью фишинговых писем, выдающих себя за налоговые органы различных стран, включая США, Великобританию, Францию, Германию, Италию, Индию и Японию, нацеленных на более чем 70 организаций по всему миру.
В письмах используются такие тактики, как поддельные домены отправителей и URL-адреса Google AMP Cache, чтобы перенаправить жертв на вредоносные целевые страницы. После того как цель попадает в сеть, вредоносная программа использует нетрадиционные методы управления (C2), такие как Google Sheets и WebDAV-доли, чтобы избежать обнаружения. Примечательно, что цепочка атак вредоносной программы включает приглашение Windows Explorer, которое маскирует удаленный файл под локальный PDF, что увеличивает вероятность взаимодействия с жертвой.
Proofpoint отмечает, что хотя тактика фишинга в кампании напоминает тактику киберпреступников, расширенные возможности вредоносной программы Voldemort указывают на интерес к шпионажу. Злоумышленники использовали множество эволюционирующих методов, включая злоупотребление протоколами поиска Windows и использование туннелей Cloudflare для обеспечения анонимности. Масштаб и изощренность кампании указывают на то, что она может быть делом рук продвинутой постоянной угрозы (APT), хотя принадлежность к конкретной группе остается неясной.
Indicators of Compromise
Domains
- pants-graphs-optics-worse.trycloudflare.com
- recall-addressed-who-collector.trycloudflare.com
- ways-sms-pmc-shareholders.trycloudflare.com
URLs
- http://83.147.243.18/p
- https://od.lk/s/OTRfNzQ5NjQwOTJf/test.png
- https://od.lk/s/OTRfODM3MjM2NzVf/La_dichiarazione_precompilata_2024.pdf
- https://od.lk/s/OTRfODM5Mzc3NjFf/irs-p966.pdf
- https://od.lk/s/OTRfODQ1NDc2MjZf/SA150_Notes_2024.pdf
- https://od.lk/s/OTRfODQ1Njk2ODVf/2044_4765.pdf
- https://od.lk/s/OTRfODQ1NzA0Mjlf/einzelfragen_steuerbescheinigungen_de.pdf
- https://od.lk/s/OTRfODQ4ODE4OThf/logo.png
- https://od.lk/s/OTRfODQ5MzQ5Mzlf/ABC_of_Tax.pdf
- https://pubs.infinityfreeapp.com/IRS_P966.html
- https://pubs.infinityfreeapp.com/La_dichiarazione_precompilata_2024.html
- https://pubs.infinityfreeapp.com/Notice_pour_remplir_la_N%C2%B0_2044.html
- https://pubs.infinityfreeapp.com/SA150_Notes_2024.html
- https://pubs.infinityfreeapp.com/Steuerratgeber.html
- https://resource.infinityfreeapp.com/0023012-317.html
- https://resource.infinityfreeapp.com/ABC_of_Tax.html
- https://sheets.googleapis.com:443/v4/spreadsheets/16JvcER-0TVQDimWV56syk91IMCYXOvZbW4GTnb947eE
SHA256
- 0b3235db7e8154dd1b23c3bed96b6126d73d24769af634825d400d3d4fe8ddb9
- 3fce52d29d40daf60e582b8054e5a6227a55370bed83c662a8ff2857b55f4cea
- 561e15a46f474255fda693afd644c8674912df495bada726dbe7565eae2284fb
- 6bdd51dfa47d1a960459019a960950d3415f0f276a740017301735b858019728
- fa383eac2bf9ad3ef889e6118a28aa57a8a8e6b5224ecdf78dcffc5225ee4e1f