Cybersecurity-Forscher haben eine neuartige Malware-Kampagne aufgedeckt, die Google Sheets als Command-and-Control (C2)-Mechanismus nutzt.
Die Aktivität, die von Proofpoint ab dem 5. August 2024 erkannt wurde, gibt sich als Steuerbehörden von Regierungen in Europa, Asien und den USA aus, mit dem Ziel, über 70 Organisationen weltweit mithilfe eines maßgeschneiderten Tools namens Voldemort anzugreifen, das Informationen sammeln und zusätzliche Nutzlasten liefern kann.
Zu den Zielsektoren gehören Versicherungen, Luft- und Raumfahrt, Transport, Wissenschaft, Finanzen, Technologie, Industrie, Gesundheitswesen, Automobil, Gastgewerbe, Energie, Regierung, Medien, Produktion, Telekommunikation und Sozialhilfeorganisationen.
Die mutmaßliche Cyber-Spionagekampagne wurde keinem bestimmten bekannten Bedrohungsakteur zugeordnet. Im Rahmen der Angriffe wurden bis zu 20.000 E-Mails verschickt.
Diese E-Mails geben vor, von Steuerbehörden in den USA, Großbritannien, Frankreich, Deutschland, Italien, Indien und Japan zu stammen, und informieren die Empfänger über Änderungen bei ihren Steuererklärungen und fordern sie auf, auf Google AMP Cache URLs zu klicken, die Benutzer auf eine Zwischenlandingpage weiterleiten.
Auf dieser Seite wird die User-Agent-Zeichenkette geprüft, um festzustellen, ob das Betriebssystem Windows ist, und falls ja, wird der URI-Protokollhandler search-ms: verwendet, um eine Windows-Verknüpfungsdatei (LNK) anzuzeigen, die einen Adobe Acrobat Reader verwendet, um sich als PDF-Datei zu tarnen, in dem Versuch, das Opfer zum Starten der Datei zu verleiten.
„Wenn die LNK ausgeführt wird, ruft sie PowerShell auf, um Python.exe von einer dritten WebDAV-Freigabe im selben Tunnel (\library\) auszuführen, wobei ein Python-Skript auf einer vierten Freigabe (\resource\) auf demselben Host als Argument übergeben wird“, sagten die Proofpoint-Forscher Tommy Madjar, Pim Trouerbach und Selena Larson. „Dadurch wird Python das Skript ausführen, ohne Dateien auf den Computer herunterzuladen, wobei Abhängigkeiten direkt von der WebDAV-Freigabe geladen werden.“
Das Python-Skript soll Systeminformationen sammeln und die Daten in Form einer Base64-codierten Zeichenkette an eine vom Angreifer kontrollierte Domain senden. Anschließend wird dem Benutzer eine Köder-PDF angezeigt und eine passwortgeschützte ZIP-Datei von OpenDrive heruntergeladen.
Das ZIP-Archiv enthält wiederum zwei Dateien, eine legitime ausführbare Datei „CiscoCollabHost.exe“, die anfällig für DLL-Sideloading ist, und eine bösartige DLL „CiscoSparkLauncher.dll“ (d.h. Voldemort) Datei, die Sideloading verwendet.
Voldemort ist eine benutzerdefinierte Backdoor, die in C geschrieben wurde und über Funktionen zum Sammeln von Informationen und Laden von Nutzlasten der nächsten Stufe verfügt. Die Malware verwendet Google Sheets für C2, Datenexfiltration und die Ausführung von Befehlen von den Operatoren.
Proofpoint beschrieb die Aktivität als mit fortgeschrittenen persistenten Bedrohungen (APT) übereinstimmend, die jedoch „Cybercrime-Vibes“ tragen, da Techniken verwendet werden, die in der E-Crime-Landschaft beliebt sind.
„Bedrohungsakteure missbrauchen Dateischema-URIs, um auf externe Dateifreigabe-Ressourcen für die Malware-Staging zuzugreifen, insbesondere WebDAV und Server Message Block (SMB). Dies geschieht durch die Verwendung des Schemas ‚file://‘ und die Verweisung auf einen Remote-Server, der den schädlichen Inhalt hostet“, sagten die Forscher.
Dieser Ansatz ist bei Malware-Familien, die als Initial Access Broker (IABs) fungieren, wie z. B. Latrodectus, DarkGate und XWorm, zunehmend verbreitet.
Darüber hinaus sagte Proofpoint, dass es in der Lage war, den Inhalt der Google Sheet zu lesen und insgesamt sechs Opfer zu identifizieren, darunter eines, von dem angenommen wird, dass es entweder ein Sandbox oder ein „bekannter Forscher“ ist.
Die Kampagne wurde als ungewöhnlich eingestuft, was die Möglichkeit aufwirft, dass die Bedrohungsakteure ein breites Netz ausgeworfen haben, bevor sie sich auf einen kleinen Pool von Zielen konzentrierten. Es ist auch möglich, dass die Angreifer, wahrscheinlich mit unterschiedlichen technischen Fähigkeiten, planten, mehrere Organisationen zu infizieren.
„Während viele der Kampagnenmerkmale mit Cyberkriminellen-Bedrohungsaktivitäten übereinstimmen, schätzen wir, dass es sich wahrscheinlich um Spionage handelt, die zur Unterstützung noch unbekannter Endziele durchgeführt wird“, sagten die Forscher.
„Die Frankenstein’sche Verbindung von cleveren und ausgeklügelten Fähigkeiten, gepaart mit sehr grundlegenden Techniken und Funktionalitäten, macht es schwierig, die Fähigkeit des Bedrohungsakteurs einzuschätzen und mit hoher Sicherheit die letztendlichen Ziele der Kampagne zu bestimmen.“
Die Entwicklung kommt zu einem Zeitpunkt, an dem Netskope Threat Labs eine aktualisierte Version von Latrodectus (Version 1.4) entdeckt hat, die einen neuen C2-Endpunkt enthält und zwei neue Backdoor-Befehle hinzufügt, die es ihr ermöglichen, Shellcode von einem bestimmten Server herunterzuladen und beliebige Dateien von einem Remote-Standort abzurufen.
„Latrodectus hat sich ziemlich schnell weiterentwickelt und neue Funktionen zu seiner Nutzlast hinzugefügt“, sagte Sicherheitsforscher Leandro Fróes. „Das Verständnis der Updates, die auf seine Nutzlast angewendet wurden, ermöglicht es Verteidigern, automatisierte Pipelines richtig einzurichten sowie die Informationen zur weiteren Suche nach neuen Varianten zu verwenden.“