एक नया मैलवेयर मार्केटिंग अभियान “वोल्डेमॉर्ट” नामक एक पहले से अघोषित बैकडोर को दुनिया भर के संगठनों में फैला रहा है, जो यू.एस., यूरोप और एशिया की कर कंपनियों का प्रतिरूपण कर रहा है।
प्रूफपॉइंट की रिपोर्ट के अनुसार, यह मार्केटिंग अभियान 5 अगस्त, 2024 को शुरू हुआ और इसने 70 से अधिक लक्षित संगठनों को 20,000 से अधिक ईमेल प्रसारित किए, जो अपने अभ्यास के चरम पर एक ही दिन में 6,000 तक पहुँच गए।
सभी लक्षित संगठनों में से आधे से अधिक बीमा कवरेज, एयरोस्पेस, परिवहन और प्रशिक्षण क्षेत्रों में हैं। इस मार्केटिंग अभियान के पीछे का खतरनाक अभिनेता अज्ञात है, हालाँकि प्रूफपॉइंट का मानना है कि सबसे संभावित लक्ष्य साइबर जासूसी करना है।
यह हमला ठीक वैसा ही है जैसा कि प्रूफपॉइंट ने महीने की शुरुआत में बताया था, लेकिन अंतिम चरण में एक अलग मैलवेयर सेट शामिल था।
कर अधिकारियों का प्रतिरूपण करना
एक नई प्रूफपॉइंट रिपोर्ट कहती है कि हमलावर सार्वजनिक डेटा के आधार पर लक्षित समूह के स्थान से मेल खाने के लिए फ़िशिंग ईमेल तैयार कर रहे हैं।
फ़िशिंग ईमेल समूह के देश के कर अधिकारियों का प्रतिरूपण करते हैं, जिसमें कहा गया है कि अद्यतित कर डेटा है और इसमें संबंधित दस्तावेज़ों के हाइपरलिंक शामिल हैं।
अभियान में उपयोग किए गए दुर्भावनापूर्ण ईमेल के नमूने
विपणन अभियान में उपयोग किए गए दुर्भावनापूर्ण ईमेल के नमूने
स्रोत: Proofpoint
हाइपरलिंक पर क्लिक करने से प्राप्तकर्ता InfinityFree पर होस्ट किए गए लैंडिंग वेब पेज पर आते हैं, जो पीड़ित को “दस्तावेज़ देखने के लिए क्लिक करें” बटन वाले वेब पेज पर रीडायरेक्ट करने के लिए Google AMP कैश URL का उपयोग करता है।
जब बटन पर क्लिक किया जाता है, तो वेब पेज ब्राउज़र के उपभोक्ता एजेंट को सत्यापित करेगा, और यदि यह विंडोज के लिए है, तो लक्ष्य को एक सर्च-एमएस यूआरआई (विंडोज सर्च प्रोटोकॉल) पर रीडायरेक्ट करेगा जो ट्राईक्लाउडफ्लेयर-टनल यूआरआई को इंगित करता है। गैर-विंडोज उपयोगकर्ताओं को एक खाली Google ड्राइव URL पर रीडायरेक्ट किया जाता है जो कोई दुर्भावनापूर्ण सामग्री नहीं देता है।
यदि पीड़ित सर्च-एमएस फ़ाइल के साथ इंटरैक्ट करता है, तो होम विंडोज एक्सप्लोरर पीडीएफ के रूप में प्रच्छन्न एक एलएनके या ज़िप फ़ाइल दिखाने के लिए ट्रिगर होता है।
सर्च-एमएस: यूआरआई का उपयोग वर्तमान में फ़िशिंग अभियानों के साथ लोकप्रिय हो गया है क्योंकि इस तथ्य के बावजूद कि यह फ़ाइल बाहरी WebDAV/SMB शेयर पर होस्ट की गई है, इसे ऐसा प्रतीत कराया जाता है जैसे कि यह डाउनलोड फ़ोल्डर के भीतर क्षेत्रीय रूप से मौजूद है ताकि पीड़ित को इसे खोलने के लिए धोखा दिया जा सके।
फ़ाइल को ऐसा दिखाना जैसे कि यह पीड़ित के कंप्यूटर पर स्थित है
फ़ाइल को ऐसा दिखाना जैसे कि यह पीड़ित के पीसी पर स्थित है
आपूर्ति: प्रूफ़पॉइंट
ऐसा करने से होस्ट पर डाउनलोड किए बिना किसी अन्य WebDAV शेयर से एक पायथन स्क्रिप्ट निष्पादित होती है, जो पीड़ित को प्रोफ़ाइल करने के लिए सिस्टम डेटा संग्रह करती है। उसी समय, दुर्भावनापूर्ण गतिविधि को अस्पष्ट करने के लिए एक नकली पीडीएफ प्रदर्शित किया जाता है।
नकली पीडीएफ जो गतिविधि को अस्पष्ट करता है नकली पीडीएफ जो पीड़ित का ध्यान भटकाता है आपूर्ति: प्रूफपॉइंट स्क्रिप्ट अतिरिक्त रूप से एक आधिकारिक सिस्को वेबएक्स निष्पादन योग्य (CiscoCollabHost.exe) और एक दुर्भावनापूर्ण DLL (CiscoSparkLauncher.dll) डाउनलोड करती है ताकि DLL साइड-लोडिंग का उपयोग करके वोल्डेमॉर्ट को लोड किया जा सके। Google शीट्स का दुरुपयोग वोल्डेमॉर्ट एक C-आधारित बैकडोर है जो कई तरह के निर्देशों और फ़ाइल प्रबंधन क्रियाओं में मदद करता है, जिसमें एक्सफ़िल्ट्रेशन, सिस्टम में नए पेलोड पेश करना और फ़ाइल हटाना शामिल है। समर्थित निर्देशों का रिकॉर्ड नीचे दिया गया है: पिंग – मैलवेयर और C2 सर्वर के बीच कनेक्टिविटी की जाँच करता है। Dir – दूषित सिस्टम से लिस्टिंग आइटमिंग को पुनः प्राप्त करता है। प्राप्त करें – दूषित सिस्टम से C2 सर्वर पर रिकॉर्डडेटा डाउनलोड करता है। Add – C2 सर्वर से दूषित सिस्टम पर रिकॉर्डडेटा अपलोड करता है। Exec – दूषित सिस्टम पर निर्दिष्ट कमांड या प्रोग्राम निष्पादित करता है। कॉपी – दूषित सिस्टम के अंदर रिकॉर्डडेटा या निर्देशिकाओं की प्रतिलिपि बनाता है।
ट्रांसफर – दूषित सिस्टम के अंदर रिकॉर्डडेटा या निर्देशिकाओं पर हमला करता है।
स्लीप – मैलवेयर को एक निर्दिष्ट अवधि के लिए स्लीप मोड में रखता है, जिसके दौरान यह कोई भी क्रिया नहीं करेगा।
एग्जिट – दूषित सिस्टम पर मैलवेयर के संचालन को समाप्त करता है।
वोल्डेमॉर्ट का एक उल्लेखनीय कार्य यह है कि यह Google शीट्स को कमांड और प्रबंधन सर्वर (C2) के रूप में उपयोग करता है, दूषित गैजेट पर निष्पादित करने के लिए नए निर्देश प्राप्त करने के लिए इसे पिंग करता है और चोरी की गई जानकारी के लिए एक भंडार के रूप में उपयोग करता है।
प्रत्येक दूषित मशीन Google शीट के अंदर विशेष कोशिकाओं में अपनी जानकारी लिखती है, जिसे UUID जैसे विशिष्ट पहचानकर्ताओं द्वारा नामित किया जा सकता है, जो भंग किए गए कार्यक्रमों के अलगाव और स्पष्ट प्रशासन की गारंटी देता है।
Google टोकन प्राप्त करने का अनुरोध करें
Google से प्रवेश टोकन प्राप्त करने का अनुरोध करें
आपूर्ति: Proofpoint
Voldemort Google शीट्स के साथ मिलकर काम करने के लिए एक एम्बेडेड उपभोक्ता आईडी, गुप्त और ताज़ा टोकन के साथ Google के API का उपयोग करता है, जो इसके एन्क्रिप्टेड कॉन्फ़िगरेशन में सहेजे जाते हैं।
यह रणनीति मैलवेयर को एक भरोसेमंद और अत्यधिक उपलब्ध C2 चैनल प्रदान करती है, और सुरक्षा उपकरणों द्वारा सामुदायिक संचार को चिह्नित किए जाने की संभावना को भी कम करती है। चूंकि Google शीट्स का अक्सर उद्यम में उपयोग किया जाता है, इसलिए यह सेवा को अवरुद्ध करना भी अव्यावहारिक बनाता है।
2023 में, चीनी भाषा APT41 हैकिंग समूह w
