Evil hacker

新たなマルウェアキャンペーンが、米国、欧州、アジアの税務機関になりすまし、「Voldemort」と名付けられたこれまで文書化されていなかったバックドアを世界中の組織に拡散している。

Proofpointのレポートによると、このキャンペーンは2024年8月5日に開始され、70以上の標的組織に20,000通以上の電子メールをばらまき、活動のピーク時には1日で6,000通に達したという。

標的となった組織の半数以上は、保険、航空宇宙、運輸、教育のセクターに属している。このキャンペーンの背後にいる脅威の主体は不明ですが、Proofpointは、最も可能性の高い目的はサイバースパイ活動であると考えています。

この攻撃は、Proofpoint が今月初めに説明したものと類似していますが、最終段階では異なるマルウェア・セットが関与しています。

税務当局になりすます

Proofpointの新しいレポートによると、攻撃者は公開情報に基づき、標的となる組織の所在地に一致するようにフィッシングメールを作成しているという。

フィッシングメールは、その組織の国の税務当局になりすまし、最新の税務情報があることを示し、関連文書へのリンクが含まれています。

Samples of the malicious emails used in the campaign
キャンペーンに使用された悪意のあるメールのサンプル
出典:Proofpoint:プルーフポイント

リンクをクリックすると、受信者はInfinityFreeでホストされているランディングページに移動し、Google AMP Cache URLを使用して、被害者を「Click to view document」ボタンのあるページにリダイレクトします。

ボタンがクリックされると、ページはブラウザのユーザーエージェントをチェックし、それがWindows用であれば、ターゲットをTryCloudflareトンネルされたURIを指すsearch-ms URI(Windows Search Protocol)にリダイレクトします。Windows以外のユーザーは、悪意のあるコンテンツを提供しない空のGoogle Drive URLにリダイレクトされます。

被害者がsearch-msファイルを操作すると、Windowsエクスプローラが起動され、PDFを装ったLNKファイルまたはZIPファイルが表示されます。

search-ms:このファイルは外部のWebDAV/SMB共有でホストされているにもかかわらず、あたかもダウンロードフォルダにローカルに存在するかのように見せかけ、被害者を騙して開かせるためです。

Making the file appear as if it's located on the victim's computer
あたかもファイルが被害者のコンピュータにあるかのように見せる
Source:プルーフポイント

こうすることで、ホスト上にダウンロードすることなく、別のWebDAV共有からPythonスクリプトを実行し、被害者をプロファイルするためのシステム情報収集を行います。同時に、おとりPDFが表示され、悪意のある活動を見えにくくしています。

Decoy PDF that obscures the activity
被害者の注意をそらすおとりPDF
Source:Proofpoint

このスクリプトはまた、正規の Cisco WebEx 実行ファイル(CiscoCollabHost.exe)と悪意のある DLL(CiscoSparkLauncher.dll)をダウンロードし、DLL サイドローディングを使用して Voldemort をロードします。

Google Sheetsの悪用

VoldemortはCベースのバックドアであり、流出、システムへの新たなペイロードの導入、ファイルの削除など、幅広いコマンドやファイル管理アクションをサポートしています。

サポートされているコマンドのリストを以下に示します:

  • Ping – マルウェアとC2サーバー間の接続性をテストします。
  • Dir– 感染したシステムからディレクトリ リストを取得します。
  • Download – 感染したシステムからC2サーバーにファイルをダウンロードします。
  • Upload – C2サーバーから感染したシステムにファイルをアップロードします。
  • Exec – 感染したシステムで指定のコマンドまたはプログラムを実行します。
  • Copy – 感染したシステム内のファイルまたはディレクトリをコピーします。
  • Move – 感染したシステム内のファイルまたはディレクトリを移動します。
  • Sleep – 指定された時間、マルウェアをスリープ モードにし、その間は何も実行しません。
  • Exit – 感染したシステム上でのマルウェアの動作を終了します。

Voldemortの特筆すべき特徴は、Google Sheetsをコマンド&コントロール・サーバー(C2)として使用し、感染したデバイス上で実行する新しいコマンドを取得するためにPingを送信したり、盗んだデータの保管場所として使用したりすることです。

感染した各マシンは、Googleシート内の特定のセルにデータを書き込みます。このセルは、UUIDのような一意の識別子で指定することができ、侵入したシステムの隔離と明確な管理を保証します。

Request to receive Google token
Google からのアクセストークン受信リクエスト
Source:プルーフポイント

Voldemortは、クライアントID、シークレット、リフレッシュトークンを埋め込んだGoogleのAPIを使用して、暗号化された設定に保存されたGoogle Sheetsとやり取りします。

このアプローチは、マルウェアに信頼性と可用性の高いC2チャネルを提供し、セキュリティツールによってネットワーク通信がフラグ付けされる可能性を低減します。Google Sheetsは企業で一般的に使用されているため、このサービスをブロックすることは現実的ではありません。

2023年、中国のAPT41ハッキンググループは、レッドチーミングのGC2ツールキットを使用し、Google Sheetsをコマンド&コントロールサーバーとして使用していることが確認されています。

このキャンペーンを防御するために、プルーフポイント社は、外部ファイル共有サービスへのアクセスを信頼できるサーバーに制限し、積極的に必要とされない場合は TryCloudflare への接続をブロックし、疑わしい PowerShell の実行を監視することを推奨しています。