แคมเปญมัลแวร์ใหม่กำลังแพร่กระจายเป็น Backdoor ที่ห้ามเอ่ยนามชื่อ “Voldemort” ไปยังองค์กรต่างๆ ทั่วโลก โดยแอบอ้างเป็นหน่วยงานด้านภาษีจากสหรัฐอเมริกา ยุโรป และเอเชีย ตามรายงานของ Proofpoint แคมเปญดังกล่าวเริ่มต้นเมื่อวันที่ 5 สิงหาคม 2024 และส่งอีเมลไปแล้วกว่า 20,000 ฉบับไปยังองค์กรเป้าหมายกว่า 70 แห่ง โดยส่งอีเมลไปถึง 6,000 ฉบับในวันเดียวในช่วงที่มีการโจมตีสูงสุด

 

องค์กรเป้าหมายมากกว่าครึ่งหนึ่งอยู่ในภาคการประกันภัย อวกาศ การขนส่ง และการศึกษา ยังไม่เป็นที่ทราบแน่ชัดเกี่ยวกับผู้ก่อภัยคุกคามที่อยู่เบื้องหลังแคมเปญนี้ แต่ Proofpoint เชื่อว่าเป้าหมายที่น่าจะเป็นไปได้มากที่สุดคือการดำเนินการจารกรรมทางไซเบอร์ การโจมตีนี้คล้ายกับสิ่งที่ Proofpoint อธิบายไว้เมื่อต้นเดือน แต่เกี่ยวข้องกับมัลแวร์ชนิดอื่นในขั้นตอนสุดท้าย

 

การแอบอ้างเป็นเจ้าหน้าที่ด้านภาษี

รายงานใหม่ของ Proofpoint ระบุว่าผู้โจมตีกำลังสร้างอีเมลฟิชชิ่งเพื่อระบุตำแหน่งขององค์กรเป้าหมายโดยอ้างอิงจากข้อมูลสาธารณะ อีเมลฟิชชิ่งดังกล่าวแอบอ้างเป็นเจ้าหน้าที่ด้านภาษีจากประเทศขององค์กร โดยระบุว่ามีข้อมูลภาษีที่อัปเดตแล้วและมีลิงก์ไปยังเอกสารที่เกี่ยวข้อง

การคลิกลิงก์จะพาผู้รับไปยังหน้าปลายทางที่โฮสต์บน InfinityFree ซึ่งใช้ URL ของ Google AMP Cache เพื่อเปลี่ยนเส้นทางเหยื่อไปยังหน้าที่มีปุ่ม “คลิกเพื่อดูเอกสาร” เมื่อคลิกปุ่มแล้ว หน้าเว็บจะตรวจสอบ User Agent ของเบราว์เซอร์ และหากเป็นของ Windows ระบบจะเปลี่ยนเส้นทางเป้าหมายไปยัง URI ของ search-ms (Windows Search Protocol) ที่ชี้ไปยัง URI ที่ถูกสอดแนมโดย TryCloudflare ผู้ใช้ที่ไม่ใช่ Windows จะถูกเปลี่ยนเส้นทางไปยัง URL ของ Google Drive ที่ว่างเปล่าซึ่งไม่มีเนื้อหาที่เป็นอันตราย

 

หากเหยื่อโต้ตอบกับไฟล์ search-ms Windows Explorer จะถูกเรียกใช้เพื่อแสดงไฟล์ LNK หรือ ZIP ที่ปลอมเป็น PDF การใช้ URI ของ search-ms: ได้รับความนิยมในช่วงหลังนี้กับแคมเปญฟิชชิ่ง แม้ว่าไฟล์นี้จะโฮสต์อยู่บน WebDAV/SMB share ภายนอก แต่ไฟล์นี้ถูกทำให้ดูเหมือนว่าอยู่ในโฟลเดอร์ดาวน์โหลดภายในเครื่องเพื่อหลอกล่อเหยื่อให้เปิดไฟล์

การดำเนินการดังกล่าวจะเรียกใช้สคริปต์ Python จาก WebDAV share โดยไม่ดาวน์โหลดลงบนโฮสต์ ซึ่งจะดำเนินการรวบรวมข้อมูลระบบเพื่อสร้างโปรไฟล์ของเหยื่อ ในเวลาเดียวกัน PDF ปลอมจะปรากฏขึ้นเพื่อปกปิดการกระทำที่เป็นอันตราย

สคริปต์ยังดาวน์โหลดไฟล์ปฏิบัติการ Cisco WebEx ที่ถูกกฎหมาย (CiscoCollabHost.exe) และ DLL ที่เป็นอันตราย (CiscoSparkLauncher.dll) เพื่อโหลด Voldemort โดยใช้ DLL side-loading

 

การใช้ Google Sheets ในทางที่ผิด

Voldemort เป็นแบ็กดอร์ที่ใช้ภาษา C ที่รองรับคำสั่งและการดำเนินการจัดการไฟล์หลากหลายประเภท รวมถึงการแอบขโมยข้อมูล การนำ Payloads ใหม่เข้าสู่ระบบ และการลบไฟล์

 

รายการคำสั่งที่รองรับมีดังต่อไปนี้:

Ping – ทดสอบการเชื่อมต่อระหว่างมัลแวร์และเซิร์ฟเวอร์ C2

Dir – ดึงรายชื่อไดเรกทอรีจากระบบที่ติดมัลแวร์

Download – ดาวน์โหลดไฟล์จากระบบที่ติดมัลแวร์ไปยังเซิร์ฟเวอร์ C2

Upload – อัปโหลดไฟล์จากเซิร์ฟเวอร์ C2 ไปยังระบบที่ติดมัลแวร์

Exec – ดำเนินการคำสั่งหรือโปรแกรมที่ระบุบนระบบที่ติดมัลแวร์

Copy – คัดลอกไฟล์หรือไดเรกทอรีภายในระบบที่ติดมัลแวร์

Move – ย้ายไฟล์หรือไดเรกทอรีภายในระบบที่ติดมัลแวร์

Sleep – ทำให้มัลแวร์เข้าสู่โหมดสลีปเป็นระยะเวลาที่กำหนด ซึ่งระหว่างนั้นจะไม่ดำเนินการใดๆ

Exit – ยุติการทำงานของมัลแวร์บนระบบที่ติดมัลแวร์

 

คุณลักษณะที่โดดเด่นของ Voldemort คือการใช้ Google Sheets เป็นเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) โดยส่ง ping เพื่อรับคำสั่งใหม่เพื่อดำเนินการบนอุปกรณ์ที่ติดมัลแวร์และเป็นที่เก็บสำหรับข้อมูลที่ถูกขโมย เครื่องที่ติดไวรัสแต่ละเครื่องจะเขียนข้อมูลลงในเซลล์เฉพาะภายใน Google Sheet ซึ่งสามารถกำหนดได้โดยใช้ตัวระบุเฉพาะเช่น UUID เพื่อให้แน่ใจว่าแยกและจัดการระบบที่ถูกบุกรุกได้ชัดเจนยิ่งขึ้น

Voldemort ใช้ API ของ Google ที่มีรหัสไคลเอนต์ฝังอยู่ ความลับ และ Token การรีเฟรชเพื่อโต้ตอบกับ Google Sheets ซึ่งถูกเก็บไว้ในรูปแบบการเข้ารหัส แนวทางนี้ทำให้มัลแวร์มีช่องทาง C2 ที่น่าเชื่อถือ และพร้อมใช้งานสูง และยังช่วยลดโอกาสที่การสื่อสารบนเครือข่ายจะถูกทำเครื่องหมายโดยเครื่องมือด้านความปลอดภัย เนื่องจาก Google Sheets ถูกใช้กันทั่วไปในองค์กร จึงทำให้การ Block บริการไม่สามารถทำได้จริง

 

ในปี 2023 กลุ่มแฮ็กเกอร์ APT41 ของจีนเคยใช้ Google Sheets เป็นเซิร์ฟเวอร์คำสั่งและควบคุมผ่านชุดเครื่องมือ GC2 ของ Red-Team เพื่อป้องกันแคมเปญนี้ Proofpoint แนะนำให้จำกัดการเข้าถึงบริการแชร์ไฟล์ภายนอกให้เฉพาะกับเซิร์ฟเวอร์ที่เชื่อถือได้ Block การเชื่อมต่อกับ TryCloudflare หากไม่จำเป็น และเฝ้าติดตามการดำเนินการ PowerShell ที่น่าสงสัย