«Волдеморт» в сети: международная кибершпионская атака охватила 70 организаций

Международные исследователи обнаружили масштабную кибершпионскую кампанию, затронувшую более 70 организаций в 18 различных секторах экономики. Стартовавшая 5 августа 2024 года операция уже охватила страховые компании, аэрокосмическую отрасль, транспортные компании и университеты. На счету кампании – отправка более 20 000 фишинговых писем от имени местных налоговых органов, сформулированных на английском (американском и британском), французском, немецком, итальянском, индийском и японском языках.

Жертвам предлагается перейти по вредоносным ссылкам и открыть файл search-ms, что приводит к запуску законного исполняемого файла Cisco WebEx и вредоносной DLL (CiscoSparkLauncher.dll), использующей метод загрузки DLL для установки «Волдеморта» – кастомной задней двери, написанной на C.

«Волдеморт» обладает функциями сбора информации и установки дополнительных нагрузок, включая Cobalt Strike, обнаруженный на инфраструктуре атакующих. Особенностью данной вредоносной программы является отсутствие выделенного сервера управления (C2), вместо этого используется инфраструктура Google Sheets для управления, эксфильтрации данных и выполнения команд операторами.

Компания Proofpoint, которая исследовала кампанию, заявила, что не смогла связать её с какой-либо конкретной группой из-за «франкенштейновской амальгамы изощренных и примитивных техник», что делает трудным оценку возможностей исполнителей и окончательных целей кампании.