研究人員發(fā)現(xiàn)有一個新的惡意軟件活動通過冒充美國、歐洲和亞洲的稅務機構，向世界各地的組織傳播一種名為 “Voldemort ”的后門程序，該后門程序此前從未被記錄過 。

根據(jù) Proofpoint 的一份報告，該活動始于 2024 年 8 月 5 日，已向 70 多個目標組織傳播了 2 萬多封電子郵件，在活動高峰期一天就達到了 6000 封。這其中超過一半的目標組織屬于保險、航空航天、運輸和教育部門。這次活動背后的威脅行為者尚不清楚，但 Proofpoint 認為最有可能的目的是進行網(wǎng)絡間諜活動。

這次攻擊與 Proofpoint 在月初描述的情況類似，但在最后階段涉及不同的惡意軟件集。

冒充稅務機關炮制釣魚郵件

根據(jù)Proofpoint 的一份新報告稱，攻擊者正在根據(jù)公共信息制作與目標組織所在地相匹配的網(wǎng)絡釣魚電子郵件。這些釣魚郵件冒充組織所在國家的稅務機關，聲稱有最新的稅務信息，并包含相關文件的鏈接。

活動中使用的惡意電子郵件樣本，來源：Proofpoint

點擊鏈接后，收件人會進入一個由 InfinityFree 托管的登陸頁面，該頁面使用谷歌 AMP 緩存 URL 將受害者重定向到一個帶有 “點擊查看文檔 ”按鈕的頁面。

點擊按鈕后，頁面會檢查瀏覽器的用戶代理，如果是 Windows 系統(tǒng)，則會將目標重定向到指向 TryCloudflare 通道 URI 的 search-ms URI（Windows 搜索協(xié)議）。非 Windows 用戶會被重定向到一個空的 Google Drive URL，該 URL 不會提供任何惡意內容。

如果受害者與 search-ms 文件交互，Windows 資源管理器就會被觸發(fā)，顯示偽裝成 PDF 的 LNK 或 ZIP 文件。

URI 最近在網(wǎng)絡釣魚活動中很流行，因為即使該文件托管在外部 WebDAV/SMB 共享上，它也會被偽裝成本地下載文件夾中的文件，誘騙受害者打開。

讓文件看起來就像在受害者的電腦上一樣，來源：Proofpoint

Proofpoint 發(fā)現(xiàn)，有一種惡意軟件會從另一個 WebDAV 共享中執(zhí)行一個 Python 腳本，而不會在主機上下載該腳本，該腳本會執(zhí)行系統(tǒng)信息收集，對受害者進行剖析。與此同時，還會顯示一個誘餌 PDF 來掩蓋惡意活動。

轉移受害者注意力的誘餌 PDF，來源：Proofpoint

該腳本還下載了一個合法的 Cisco WebEx 可執(zhí)行文件（CiscoCollabHost.exe）和一個惡意 DLL（CiscoSparkLauncher.dll），以使用 DLL 側載加載 Voldemort。

濫用谷歌工作表發(fā)動攻擊

Voldemort 是一款基于 C 語言的后門程序，支持多種命令和文件管理操作，包括外滲、向系統(tǒng)引入新的有效載荷和文件刪除。

支持的命令列表如下：

• Ping - 測試惡意軟件與 C2 服務器之間的連接性。
• Dir - 從受感染系統(tǒng)中檢索目錄列表。
• 下載 - 將文件從受感染系統(tǒng)下載到 C2 服務器。
• 上傳 - 將文件從 C2 服務器上傳到受感染系統(tǒng)。
• Exec - 在受感染系統(tǒng)上執(zhí)行指定命令或程序。
• 復制 - 在受感染系統(tǒng)內復制文件或目錄。
• Move - 移動受感染系統(tǒng)內的文件或目錄。
• Sleep - 在指定時間內使惡意軟件進入睡眠模式，在此期間不會執(zhí)行任何活動。
• 退出 - 終止惡意軟件在受感染系統(tǒng)上的運行。

Voldemort 的一個顯著特點是將 Google Sheets 用作命令和控制服務器 (C2)，通過 ping 獲取在受感染設備上執(zhí)行的新命令，并將其作為竊取數(shù)據(jù)的存儲庫。

每臺受感染的機器都會將數(shù)據(jù)寫入谷歌工作表中的特定單元格，這些單元格可以用 UUID 等唯一標識符指定，從而確保隔離和更清晰地管理被入侵的系統(tǒng)。

請求從 Google 接收訪問令牌，來源：Proofpoint

Voldemort 使用帶有嵌入式客戶端 ID、秘密和刷新令牌的 Google API 與 Google Sheets 進行交互，這些信息存儲在其加密配置中。

這種方法為惡意軟件提供了一個可靠且高度可用的 C2 通道，還降低了網(wǎng)絡通信被安全工具標記的可能性。由于企業(yè)普遍使用 Google Sheets，因此封鎖該服務也是不切實際的。

但為了降低這類攻擊帶來的安全風險，Proofpoint 建議將外部文件共享服務的訪問權限限制在受信任的服務器上，在沒有主動需要的情況下阻止與 TryCloudflare 的連接，并監(jiān)控可疑的 PowerShell 執(zhí)行。