Експерти з кібербезпеки компанії Proofpoint виявили нову масштабну кампанію, яка використовує бекдор Voldemort для збору конфіденційної інформації та доставки додаткового шкідливого програмного забезпечення. Особливістю цієї атаки є використання Google Таблиць як інструменту управління та зберігання викрадених даних, що значно ускладнює виявлення зловмисної активності.
Масштаби та цілі атаки
Кампанія, яка розпочалася 5 серпня 2024 року, вже охопила понад 70 організацій по всьому світу. Зловмисники розіслали більше 20 000 фішингових листів, націлених на різноманітні сектори економіки, включаючи страхування, аерокосмічну промисловість, фінанси, охорону здоров’я та державне управління. Експерти Proofpoint вважають, що основною метою атаки є кібершпигунство.
Механізм атаки
Атака починається з фішингового листа, який маскується під повідомлення від податкових органів. При переході за посиланням жертва потрапляє на спеціально підготовлену сторінку, яка використовує складну систему перенаправлень через Google AMP Cache та Windows Search Protocol. Кінцевою метою є запуск Python-скрипта, який збирає системну інформацію та завантажує бекдор Voldemort.
Особливості бекдора Voldemort
Voldemort – це потужний бекдор, написаний на мові C, який має широкий набір функцій для маніпуляції файлами, викрадення даних та завантаження додаткового шкідливого ПЗ. Ключовою особливістю Voldemort є використання Google Таблиць як командно-контрольного сервера. Це дозволяє зловмисникам ефективно керувати зараженими системами та зберігати викрадені дані, залишаючись непоміченими для більшості систем безпеки.
Інноваційне використання Google Таблиць
Використання Google Таблиць як інструменту управління ботнетом є інноваційним підходом, який має кілька переваг для зловмисників:
- Висока доступність та надійність сервісу Google
- Складність блокування легітимного сервісу в корпоративних мережах
- Можливість ізольованого керування кожною зараженою системою через унікальні ідентифікатори
- Використання офіційного API Google для взаємодії, що ускладнює виявлення зловмисної активності
Ця атака демонструє зростаючу витонченість кіберзлочинців та необхідність постійного вдосконалення методів захисту. Організаціям рекомендується посилити моніторинг підозрілої активності, пов’язаної з Google Таблицями, та провести додаткове навчання співробітників щодо виявлення фішингових атак. Лише комплексний підхід до кібербезпеки, що включає технічні засоби захисту та підвищення обізнаності персоналу, може ефективно протистояти таким складним загрозам.
