Siber güvenlik araştırmacıları, Google E-Tablolar’ı bir komuta ve kontrol (C2) mekanizması olarak kullanan yeni bir kötü amaçlı yazılım kampanyasını ortaya çıkardı.
Proofpoint tarafından 5 Ağustos 2024’ten itibaren tespit edilen etkinlik, Avrupa, Asya ve ABD’deki hükümetlerin vergi makamlarını taklit ediyor ve Voldemort adı verilen, bilgi toplayıp ek yükler sağlama özelliğine sahip özel bir araç aracılığıyla dünya çapında 70’ten fazla kuruluşu hedeflemeyi amaçlıyor.
Hedeflenen sektörler arasında sigortacılık, havacılık, ulaştırma, akademi, finans, teknoloji, endüstriyel, sağlık, otomotiv, konaklama, enerji, hükümet, medya, imalat, telekomünikasyon ve sosyal yardım kuruluşları yer alıyor.
Şüpheli siber casusluk kampanyası belirli bir tehdit aktörüne atfedilmedi. Saldırıların bir parçası olarak 20.000’e kadar e-posta mesajı gönderildi.
Bu e-postaların ABD, İngiltere, Fransa, Almanya, İtalya, Hindistan ve Japonya’daki vergi makamlarından geldiği iddia ediliyor ve alıcıları vergi beyannamelerindeki değişiklikler hakkında uyarıyor ve kullanıcıları ara bir açılış sayfasına yönlendiren Google AMP Önbellek URL’lerine tıklamaları yönünde teşvik ediyor.
Sayfanın yaptığı şey, işletim sisteminin Windows olup olmadığını belirlemek için Kullanıcı Aracısı dizesini incelemek ve eğer öyleyse search-ms: URI protokol işleyicisini kullanarak kurbanı kandırarak başlatmaya çalışmak amacıyla bir PDF dosyası gibi görünen Adobe Acrobat Reader kullanan bir Windows kısayolu (LNK) dosyasını görüntülemektir.
Proofpoint araştırmacıları Tommy Madjar, Pim Trouerbach ve Selena Larson, “LNK yürütülürse, aynı tüneldeki (\library\) üçüncü bir WebDAV paylaşımından Python.exe’yi çalıştırmak için PowerShell’i çağıracak ve aynı ana bilgisayardaki dördüncü bir paylaşıma (\resource\) bir Python betiğini argüman olarak geçirecek” dedi.
“Bu, Python’un herhangi bir dosyayı bilgisayara indirmeden betiği çalıştırmasına neden olur ve bağımlılıklar doğrudan WebDAV paylaşımından yüklenir.”
Python betiği, sistem bilgilerini toplamak ve verileri Base64 kodlu bir dize biçiminde aktör tarafından kontrol edilen bir etki alanına göndermek üzere tasarlanmıştır; ardından kullanıcıya sahte bir PDF gösterir ve OpenDrive’dan parola korumalı bir ZIP dosyası indirir.
ZIP arşivi ise iki dosya içeriyor: DLL yan yüklemeye karşı hassas olan meşru bir yürütülebilir dosya olan “CiscoCollabHost.exe” ve yan yükleme yapılmış kötü amaçlı bir DLL dosyası olan “CiscoSparkLauncher.dll” (yani Voldemort).
Voldemort, C dilinde yazılmış, bilgi toplama ve sonraki aşama yüklerini yükleme yeteneklerine sahip özel bir arka kapıdır; kötü amaçlı yazılım, C2 için Google E-Tablolar’ı kullanır, veri sızdırır ve operatörlerden komutlar yürütür.
Proofpoint, faaliyetin gelişmiş kalıcı tehditlerle (APT) uyumlu olduğunu ancak e-suç alanında popüler olan tekniklerin kullanılması nedeniyle “siber suç titreşimleri” taşıdığını belirtti.
Araştırmacılar, “Tehdit aktörleri, kötü amaçlı yazılım hazırlama için harici dosya paylaşım kaynaklarına erişmek amacıyla dosya şeması URI’lerini kötüye kullanırlar, özellikle WebDAV ve Sunucu İleti Bloğu (SMB). Bu, ‘file://’ şemasını kullanarak ve kötü amaçlı içeriği barındıran uzak bir sunucuya işaret ederek yapılır” dedi.
Bu yaklaşım, Latrodectus, DarkGate ve XWorm gibi ilk erişim aracısı (IAB) olarak hareket eden kötü amaçlı yazılım aileleri arasında giderek yaygınlaşıyor.
Proofpoint ayrıca Google E-Tablosu’nun içeriğini okuyabildiğini ve bunlardan birinin deneme amaçlı bir yazılım veya “bilinen bir araştırmacı” olduğuna inanılan toplam altı kurbanı tespit edebildiğini söyledi.
Kampanya alışılmadık olarak nitelendirildi ve tehdit aktörlerinin küçük bir hedef grubuna odaklanmadan önce geniş bir ağ atmış olma ihtimalini gündeme getirdi. Ayrıca, muhtemelen farklı teknik uzmanlık seviyelerine sahip saldırganların birkaç kuruluşu enfekte etmeyi planlamış olması da mümkün.
Araştırmacılar, “Kampanyanın birçok özelliği siber suç tehdit faaliyetleriyle örtüşse de, bunun henüz bilinmeyen nihai hedefleri desteklemek için yürütülen bir casusluk faaliyeti olduğunu değerlendiriyoruz” dedi.
“Akıllı ve karmaşık yeteneklerin, çok temel teknikler ve işlevsellikle bir araya getirilmesiyle oluşan Frankensteinvari bileşim, tehdit aktörünün yetenek düzeyini değerlendirmeyi ve kampanyanın nihai hedeflerini yüksek güvenle belirlemeyi zorlaştırıyor.”
Gelişme, Netskope Threat Labs’ın Latrodectus’un (sürüm 1.4) yeni bir C2 uç noktasıyla gelen ve belirtilen bir sunucudan kabuk kodunu indirmesine ve uzak bir konumdan keyfi dosyaları almasına izin veren iki yeni arka kapı komutu ekleyen güncellenmiş bir sürümünü ortaya çıkarmasının ardından geldi.
Güvenlik araştırmacısı Leandro Fróes, “Latrodectus oldukça hızlı bir şekilde evrim geçiriyor ve yüküne yeni özellikler ekliyor,” dedi. “Yüküne uygulanan güncellemelerin anlaşılması, savunucuların otomatik boru hatlarını düzgün bir şekilde ayarlamasına ve bilgileri yeni varyantları daha fazla avlamak için kullanmasına olanak tanır.”