พบมัลแวร์ตัวใหม่ ‘Voldemort’ ใช้ Google Sheets ในการจัดเก็บข้อมูลที่ขโมยมา

Proofpoint ได้เผยแพร่รายงานการค้นพบแคมเปญมัลแวร์ที่พึ่งถูกค้นพบ กำลังแพร่กระจาย backdoor ในชื่อ "Voldemort" ไปยังองค์กรต่าง ๆ ทั่วโลก โดยปลอมตัวเป็นหน่วยงานภาษีจากสหรัฐอเมริกา ยุโรป และเอเชีย

นักวิจัยเริ่มพบการโจมตีในวันที่ 5 สิงหาคม 2024 จากอีเมลมากกว่า 20,000 ฉบับที่ส่งไปยังองค์กรเป้าหมายมากกว่า 70 องค์กร โดยสูงถึง 6,000 ฉบับในวันเดียวในช่วงที่มีการโจมตีสูงสุด

โดยองค์กรที่เป็นเป้าหมายมากกว่าครึ่งหนึ่งอยู่ในภาคการประกันภัย, การบิน และอวกาศ, การขนส่ง และการศึกษา ซึ่งกลุ่ม Hacker ที่อยู่เบื้องหลังแคมเปญนี้ยังไม่ทราบแน่ชัด แต่ Proofpoint เชื่อว่าเป้าหมายที่เป็นไปได้มากที่สุดคือการดำเนินการจารกรรมทางไซเบอร์

การแอบอ้างเป็นเจ้าหน้าที่กรมสรรพากร

ในรายงานการเผยแพร่ครั้งนี้ ทาง Proofpoint ได้ระบุว่า Hacker กำลังสร้างอีเมลฟิชชิ่ง เพื่อให้ตรงกับตำแหน่งที่ตั้งขององค์กรเป้าหมายโดยอ้างอิงจากข้อมูลสาธารณะ

โดยอีเมลฟิชชิ่งจะแอบอ้างตัวเป็นหน่วยงานด้านภาษีจากประเทศขององค์กรนั้น ๆ โดยระบุว่าข้อมูลภาษีได้รับการอัปเดต และมีลิงก์ไปยังเอกสารที่เกี่ยวข้อง

ซึ่งการคลิกลิงก์จะนำไปยังหน้า landing page ที่โฮสต์อยู่บน InfinityFree ซึ่งใช้ URL ของ Google AMP Cache เพื่อเปลี่ยนเส้นทางเหยื่อไปยังหน้าที่มีปุ่ม “Click to view document”

เมื่อคลิกปุ่มแล้ว หน้าเว็บจะตรวจสอบ User Agent ของเบราว์เซอร์ และหากเป็น Windows จะเปลี่ยนเส้นทางไปยัง Search-ms URI (Windows Search Protocol) ที่ชี้ไปยัง TryCloudflare-tunneled URI แต่หากถ้าผู้ใช้ที่ไม่ใช่ Windows จะถูกเปลี่ยนเส้นทางไปยัง URL ของ Google Drive ที่ว่างเปล่าซึ่งไม่มีเนื้อหาที่เป็นอันตราย

หากเหยื่อกดไปยังไฟล์ search-ms ระบบ Windows Explorer จะถูกสั่งให้แสดงไฟล์ LNK หรือ ZIP ที่ปลอมเป็นเอกสาร PDF

การใช้ search-ms: URI ได้รับความนิยมจากแคมเปญฟิชชิ่งในช่วงปัจจุบัน แม้ว่าไฟล์นี้จะโฮสต์อยู่ภายนอก WebDAV/SMB share แต่ก็สามารถทำให้เห็นว่าอยู่ในโฟลเดอร์ดาวน์โหลดในเครื่องของผู้ใช้ เพื่อหลอกเหยื่อให้เปิดไฟล์ได้

การดำเนินการดังกล่าวจะเรียกใช้สคริปต์ Python จากที่ WebDAV share อื่นโดยไม่ดาวน์โหลดลงบนโฮสต์ ซึ่งจะดำเนินการรวบรวมข้อมูลระบบเพื่อสร้างโปรไฟล์ของเป้าหมาย ในเวลาเดียวกัน PDF ปลอมจะปรากฏขึ้นเพื่อปกปิดการดำเนินการที่เป็นอันตราย

สคริปต์ยังมีการดาวน์โหลดไฟล์ปฏิบัติการ Cisco WebEx (CiscoCollabHost.exe) และ DLL ที่เป็นอันตราย (CiscoSparkLauncher.dll) เพื่อโหลดมัลแวร์ Voldemort โดยใช้วิธีการโจมตีแบบ DLL side-loading

การใช้ Google Sheets เพื่อเก็บข้อมูล

Voldemort คือ C-based backdoor ที่รองรับคำสั่ง และการดำเนินการจัดการไฟล์หลากหลายรูปแบบ รวมถึงการขโมยข้อมูล, การนำเพย์โหลดใหม่เข้าสู่ระบบ และการลบไฟล์

รายการคำสั่งที่รองรับมีดังต่อไปนี้:
**
Ping – ทดสอบการเชื่อมต่อระหว่างมัลแวร์ และเซิร์ฟเวอร์ C2

Dir – ดึงรายการไดเร็กทอรีจากระบบที่ติดมัลแวร์

Download – ดาวน์โหลดไฟล์จากระบบที่ติดมัลแวร์ไปยังเซิร์ฟเวอร์ C2

Upload – อัพโหลดไฟล์จากเซิร์ฟเวอร์ C2 ไปยังระบบที่ติดมัลแวร์

Exec – ดำเนินการคำสั่ง หรือโปรแกรมที่ระบุบนระบบที่ติดมัลแวร์

Copy – คัดลอกไฟล์ หรือไดเร็กทอรีภายในระบบที่ติดมัลแวร์

Move – ย้ายไฟล์ หรือไดเร็กทอรีภายในระบบที่ติดมัลแวร์

Sleep – ทำให้มัลแวร์เข้าสู่โหมดหยุดนิ่งเป็นระยะเวลาหนึ่ง ซึ่งระหว่างนั้นมัลแวร์จะไม่มีการดำเนินการใด ๆ

Exit – ยุติการทำงานของมัลแวร์บนระบบ

คุณลักษณะที่โดดเด่นของ Voldemort คือการใช้ Google Sheets เป็น command and control server (C2 server) โดยส่ง ping ไปยัง server เพื่อรับคำสั่งในการดำเนินการบนอุปกรณ์ที่ติดมัลแวร์ และเป็นพิ้นที่เก็บข้อมูลที่ขโมยไป

เครื่องที่ติดมัลแวร์แต่ละเครื่องจะเขียนข้อมูลลงใน cells เฉพาะภายใน Google Sheet ซึ่งสามารถกำหนดได้โดยใช้ unique identifiers เช่น UUID เพื่อให้แน่ใจว่าสามารถแยก และจัดการระบบที่ถูกโจมตีได้ชัดเจนยิ่งขึ้น

Voldemort ใช้ API ของ Google พร้อม client ID, secret และ refresh token ที่ฝังไว้เพื่อโต้ตอบกับ Google Sheets ซึ่งได้รับการจัดเก็บในรูปแบบเข้ารหัส

วิธีการนี้ช่วยให้มัลแวร์มีช่องทางเรียกใช้คำสั่งที่เชื่อถือได้ มีความพร้อมใช้งานสูง และยังช่วยลดโอกาสที่การสื่อสารบนเครือข่ายจะถูกตรวจจับจากเครื่องมือด้านความปลอดภัย เนื่องจาก Google Sheets มักใช้กันในองค์กร จึงทำให้การบล็อกการใช้งานไม่สามารถทำได้ในทางปฏิบัติ

ในปี 2023 ก่อนหน้านี้ กลุ่มแฮ็กเกอร์ชาวจีน APT41 ถูกพบเห็นว่าใช้ Google Sheets เป็น command and control server (C2 server) ผ่านชุดเครื่องมือ GC2 ของ Red-Team

เพื่อป้องกันแคมเปญดังกล่าว Proofpoint ได้แนะนำให้จำกัดการเข้าถึงบริการแชร์ไฟล์ภายนอกให้เฉพาะกับเซิร์ฟเวอร์ที่เชื่อถือได้ รวมถึงบล็อกการเชื่อมต่อกับ TryCloudflare หากไม่จำเป็น และตรวจสอบการดำเนินการ PowerShell ที่น่าสงสัย

ที่มา : bleepingcomputer