Вредонос, чьё имя нельзя называть: Voldemort атакует системы по всему миру

Русскоязычный Даркнет Форум

Support81

Original poster
Administrator
Сообщения
886
Реакции
202
Посетить сайт
Хакеры активно используют Google Таблицы для осуществления своих замыслов.
voldemort.jpg


В августе этого года исследователи из

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

необычную кампанию по распространению вредоносного ПО, названного злоумышленниками «Voldemort», что является прямой отсылкой на магическую вселенную Джоан Роулинг. Данное вредоносное ПО подозревается в шпионаже и обладает возможностями сбора информации и загрузки дополнительных компонентов.

Выявленная вредоносная кампания отличается необычными методами, включая использование Google Таблиц для обеспечения

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

-функциональности, что редко встречается в подобных зловредных операциях. Атакующие выдавали себя за налоговые органы различных стран, включая США, Великобританию, Францию, Германию, Италию, Индию и Японию, и направляли фальшивые уведомления о налоговых изменениях организациям по всему миру.

С 5 августа 2024 года злоумышленники направили более 20 000 сообщений в 70 организаций по всему миру. В пике атаки, 17 августа, количество сообщений резко возросло до 6000 в день. Основной целью атакующих, по мнению Proofpoint, является сбор разведывательных данных, хотя окончательные цели пока остаются неизвестными.

«Voldemort» написан на языке C и использует различные методы для сокрытия своей активности, в том числе маскировку под обычные файлы и запуск через

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

без сохранения на компьютер жертвы. Интересно, что вредоносное ПО использует законные инструменты, такие как «CiscoCollabHost.exe», для выполнения своих функций.

Кампанию отличает применение методов, характерных как для кибершпионажа, так и для киберпреступности. Злоумышленники используют такие техники, как злоупотребление файлами с расширением «.search-ms», чтобы скрыть свою активность и вводить жертв в заблуждение относительно источника угрозы.

Несмотря на масштабы и сложность атаки, Proofpoint не смогла с высокой уверенностью определить, какой именно группировке принадлежит данная активность. Эксперты считают, что это может быть новая или малоизвестная группа, обладающая как базовыми, так и продвинутыми навыками.

Вредоносное ПО «Voldemort» активно использует Google Таблицы для обмена данными между заражёнными системами и командным сервером, что делает его уникальным в своём роде. В то же время, использование таких инструментов подчёркивает, что даже шпионские группы могут применять методы, характерные для киберпреступников, что усложняет их выявление и атрибуцию.

Эксперты рекомендуют организациям принимать меры по усилению защиты, включая ограничение доступа к внешним файловым хранилищам и блокировку подозрительных сетевых подключений.
Подробнее:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

 

Название темы