Kampanye malware baru menyebarkan pintu belakang yang sebelumnya tidak terdokumentasikan bernama “Voldemort” ke berbagai organisasi di seluruh dunia, yang menyamar sebagai lembaga pajak dari AS, Eropa, dan Asia.
Menurut laporan Proofpoint, kampanye tersebut dimulai pada tanggal 5 Agustus 2024, dan telah menyebarkan lebih dari 20.000 email ke lebih dari 70 organisasi yang ditargetkan, mencapai 6.000 dalam satu hari pada puncak aktivitasnya.
Lebih dari separuh dari semua organisasi yang menjadi target berada di sektor asuransi, kedirgantaraan, transportasi, dan pendidikan. Pelaku ancaman di balik kampanye ini tidak diketahui, tetapi Proofpoint yakin bahwa tujuan yang paling mungkin adalah melakukan spionase siber.
Serangan ini mirip dengan apa yang dilakukan Proofpoint dijelaskan di awal bulan tetapi melibatkan serangkaian malware yang berbeda pada tahap akhir.
Meniru otoritas pajak
Sebuah baru Laporan Proofpoint mengatakan penyerang menyusun email phishing untuk mencocokkan lokasi organisasi yang ditargetkan berdasarkan informasi publik.
Email phishing menyamar sebagai otoritas pajak dari negara asal organisasi, dengan menyatakan bahwa ada informasi pajak terkini dan menyertakan tautan ke dokumen terkait.
Sumber: Proofpoint
Mengeklik tautan tersebut akan membawa penerima ke halaman arahan yang dihosting di InfinityFree, yang menggunakan URL Google AMP Cache untuk mengarahkan korban ke halaman dengan tombol “Klik untuk melihat dokumen”.
Saat tombol diklik, halaman akan memeriksa Agen Pengguna browser, dan jika untuk Windows, akan mengalihkan target ke URI (Protokol Pencarian Windows) search-ms yang mengarah ke URI TryCloudflare-tunneled. Pengguna non-Windows akan dialihkan ke URL Google Drive kosong yang tidak menyajikan konten berbahaya.
Jika korban berinteraksi dengan berkas search-ms, Windows Explorer dipicu untuk menampilkan berkas LNK atau ZIP yang disamarkan sebagai PDF.
Penggunaan pencarian-ms: URI memiliki menjadi populer Akhir-akhir ini dengan kampanye phishing karena meskipun file ini dihosting pada share WebDAV/SMB eksternal, file ini dibuat seolah-olah berada secara lokal di folder Unduhan untuk mengelabui korban agar membukanya.
Sumber: Proofpoint
Dengan begitu, skrip Python dari berbagi WebDAV lain akan dijalankan tanpa mengunduhnya ke host, yang akan melakukan pengumpulan info sistem untuk membuat profil korban. Pada saat yang sama, PDF tipuan akan ditampilkan untuk mengaburkan aktivitas jahat.
Sumber: Proofpoint
Skrip tersebut juga mengunduh eksekusi Cisco WebEx yang sah (CiscoCollabHost.exe) dan DLL berbahaya (CiscoSparkLauncher.dll) untuk memuat Voldemort menggunakan pemuatan samping DLL.
Penyalahgunaan Google Sheets
Voldemort adalah pintu belakang berbasis C yang mendukung berbagai perintah dan tindakan pengelolaan berkas, termasuk eksfiltrasi, memasukkan muatan baru ke dalam sistem, dan penghapusan berkas.
Daftar perintah yang didukung diberikan di bawah ini:
- Bahasa Indonesia: Ping – Menguji konektivitas antara malware dan server C2.
- Dir – Mengambil daftar direktori dari sistem yang terinfeksi.
- Unduh – Mengunduh file dari sistem yang terinfeksi ke server C2.
- Mengunggah – Mengunggah file dari server C2 ke sistem yang terinfeksi.
- Eksekutif – Menjalankan perintah atau program tertentu pada sistem yang terinfeksi.
- Menyalin – Menyalin file atau direktori dalam sistem yang terinfeksi.
- Bergerak – Memindahkan file atau direktori dalam sistem yang terinfeksi.
- Tidur – Menempatkan malware ke mode tidur selama durasi tertentu, di mana malware tidak akan melakukan aktivitas apa pun.
- KELUAR – Menghentikan operasi malware pada sistem yang terinfeksi.
Fitur Voldemort yang menonjol adalah ia menggunakan Google Sheets sebagai server perintah dan kontrol (C2), melakukan ping untuk mendapatkan perintah baru yang akan dijalankan pada perangkat yang terinfeksi dan sebagai tempat penyimpanan data yang dicuri.
Setiap mesin yang terinfeksi menulis datanya ke sel tertentu dalam Google Sheet, yang dapat ditetapkan dengan pengenal unik seperti UUID, memastikan isolasi dan pengelolaan yang lebih jelas dari sistem yang dilanggar.
Sumber: Proofpoint
Voldemort menggunakan API Google dengan ID klien tertanam, rahasia, dan token penyegaran untuk berinteraksi dengan Google Sheets, yang disimpan dalam konfigurasi terenkripsi.
Pendekatan ini menyediakan saluran C2 yang andal dan sangat tersedia bagi malware, dan juga mengurangi kemungkinan komunikasi jaringan ditandai oleh alat keamanan. Karena Google Sheets umumnya digunakan di perusahaan, pemblokiran layanan ini juga tidak praktis.
Pada tahun 2023, kelompok peretas APT41 Tiongkok sebelumnya terlihat menggunakan Google Sheets sebagai server perintah dan kontrol melalui penggunaan tim merah Perangkat GC2.
Untuk mempertahankan diri dari kampanye ini, Proofpoint merekomendasikan untuk membatasi akses ke layanan berbagi file eksternal ke server tepercaya, memblokir koneksi ke TryCloudflare jika tidak diperlukan secara aktif, dan memantau eksekusi PowerShell yang mencurigakan.
