خانه » سوء استفاده هکرها از Google Sheets در حملات جاسوسی سایبری

سوء استفاده هکرها از Google Sheets در حملات جاسوسی سایبری

توسط Vulnerbyte
24 بازدید
Google Sheets - جاسوسی سایبری - Voldemort

محققان امنیت سایبری Proofpoint ، یک دسته حملات بدافزاری جدید را شناسایی کرده‌اند که از Google Sheets به عنوان مکانیزم فرماندهی و کنترل (C2) استفاده می‌کنند.

این حملات که از پنجم آگوست 2024 شناسایی شده‌اند، در ایمیل‌های جعلی ارسالی خود مدعی هستند که از سوی مقامات مالیاتی در ایالات متحده، بریتانیا، فرانسه، آلمان، ایتالیا، هند و ژاپن ارسال شده‌اند و به دریافت‌کنندگان در مورد تغییراتی در پرونده‌های مالیاتی آنها هشدار می‌دهند و از آن‌ها می‌خواهند بر روی URL‌های کش Google AMP کلیک کنند. این کلیک، کاربران را به یک لندینگ پیج (landing page) واسط هدایت می‌کند.

هدف از این حمله، نفوذ به بیش از 70 سازمان در سراسر جهان با استفاده از ابزار سفارشی به نام Voldemort  است که برای جمع‌آوری اطلاعات و ارائه پیلودهای بیشتر طراحی شده است. نامگذاری Voldemort  براساس نام فایل‌های داخلی و رشته‌های مورد استفاده در این بدافزار صورت گرفته است.

Google Sheets - جاسوسی سایبری - Voldemort

تا کنون بیش از ۲۰,۰۰۰ ایمیل در این حملات ارسال شده است و بخش‌های بیمه، هوافضا، حمل‌ونقل، دانشگاه، امور مالی، فناوری، صنعتی، مراقبت‌های بهداشتی، خودرو، هتل داری، انرژی، دولت، رسانه‌ها، تولید، مخابرات و سازمان‌های منافع اجتماعی از جمله بخش‌هایی هستند که بیشتر تحت تاثیر این حملات قرار گرفته‌اند. این حملات جاسوسی سایبری تاکنون به هیچ گروهی نسبت داده نشده‌اند.

Google Sheets - جاسوسی سایبری - Voldemort

زنجیره حمله Voldemort  

زنجیره حمله Voldemort  دارای عملکرد غیرمعمول و سفارشی شده از جمله استفاده از Google Sheets به عنوان سرور فرماندهی و کنترل (C2) و استفاده از یک فایل جستجوی ذخیره شده در یک اشتراک خارجی است.

کاری که صفحه انجام می‌دهد این است که رشته User-Agent را برای تعیین اینکه آیا سیستم عامل قربانی ویندوز است یا خیر بررسی می‌کند. چنانچه پاسخ مثبت باشد (یعنی سیستم عامل ویندوز باشد)، صفحه از کنترل کننده پروتکل search-ms: URI برای نمایش یک فایل شورتکات (LNK) استفاده می‌نماید که از Adobe Acrobat Reader برای تبدیل شدن به فایل PDF در تلاش برای فریب قربانیان به منظور اجرای این فایل استفاده می‌کند.

اگر LNK اجرا شود، PowerShell را فراخوانی می‌کند تا Python.exe را از یک اشتراک WebDAV ارائه دهنده ثالث در همان تانل (\library\) و یک اسکریپت پایتون را بر روی اشتراک چهارم (\resource\) اجرا کند.

این باعث می‌شود پایتون، اسکریپت را بدون بارگیری هیچ فایلی در رایانه اجرا کند و ملزومات، مستقیماً از اشتراک WebDAV دانلود شوند.

اسکریپت پایتون برای جمع‌آوری اطلاعات سیستم و ارسال داده‌ها در قالب یک رشته رمزگذاری شده با Base64 به یک دامنه کنترل‌ شده توسط مهاجم طراحی شده است. این اسکریپت سپس یک PDF فریبنده به کاربر نشان میدهد و یک فایل ZIP محافظت شده با رمز عبور را از OpenDrive دانلود می‌کند.

آرشیو ZIP، به نوبه خود، شامل دو فایل است، یک فایل اجرایی قانونی به نام “CiscoCollabHost.exe” که مستعد بارگذاری جانبی DLL است و یک فایل DLL مخرب “CiscoSparkLauncher.dll” (یعنی Voldemort) که در کنار آن بارگذاری شده است.

Voldemort

Voldemort یک بکدور سفارشی به زبان C می‌باشد که دارای قابلیت جمع آوری اطلاعات و بارگذاری پیلودهای مرحله بعدی است و از Google Sheets به عنوان C2، استخراج داده و اجرای دستورات اپراتور استفاده می‌کند.

Proofpoint این فعالیت را با تهدیدات APT همسو می‌داند، اما به دلیل استفاده از تکنیک‌های رایج در چشم انداز جرایم الکترونیکی، فعلا آن را به عنوان جرائم سایبری در نظر گرفته است. Proofpoint توانسته است محتویات Google Sheet را بخواند و در مجموع شش قربانی را شناسایی کند.

ارزیابی می‌شود که این حملات احتمالاً یک فعالیت جاسوسی هستند که برای حمایت از اهداف نهایی ناشناخته طراحی و انجام شده‌اند.

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید