Хакеры активно используют Google Таблицы для осуществления своих замыслов.
В августе этого года исследователи из необычную кампанию по распространению вредоносного ПО, названного злоумышленниками «Voldemort», что является прямой отсылкой на магическую вселенную Джоан Роулинг. Данное вредоносное ПО подозревается в шпионаже и обладает возможностями сбора информации и загрузки дополнительных компонентов.
Выявленная вредоносная кампания отличается необычными методами, включая использование Google Таблиц для обеспечения -функциональности, что редко встречается в подобных зловредных операциях. Атакующие выдавали себя за налоговые органы различных стран, включая США, Великобританию, Францию, Германию, Италию, Индию и Японию, и направляли фальшивые уведомления о налоговых изменениях организациям по всему миру.
С 5 августа 2024 года злоумышленники направили более 20 000 сообщений в 70 организаций по всему миру. В пике атаки, 17 августа, количество сообщений резко возросло до 6000 в день. Основной целью атакующих, по мнению Proofpoint, является сбор разведывательных данных, хотя окончательные цели пока остаются неизвестными.
«Voldemort» написан на языке C и использует различные методы для сокрытия своей активности, в том числе маскировку под обычные файлы и запуск через без сохранения на компьютер жертвы. Интересно, что вредоносное ПО использует законные инструменты, такие как «CiscoCollabHost.exe», для выполнения своих функций.
Кампанию отличает применение методов, характерных как для кибершпионажа, так и для киберпреступности. Злоумышленники используют такие техники, как злоупотребление файлами с расширением «.search-ms», чтобы скрыть свою активность и вводить жертв в заблуждение относительно источника угрозы.
Несмотря на масштабы и сложность атаки, Proofpoint не смогла с высокой уверенностью определить, какой именно группировке принадлежит данная активность. Эксперты считают, что это может быть новая или малоизвестная группа, обладающая как базовыми, так и продвинутыми навыками.
Вредоносное ПО «Voldemort» активно использует Google Таблицы для обмена данными между заражёнными системами и командным сервером, что делает его уникальным в своём роде. В то же время, использование таких инструментов подчёркивает, что даже шпионские группы могут применять методы, характерные для киберпреступников, что усложняет их выявление и атрибуцию.
Эксперты рекомендуют организациям принимать меры по усилению защиты, включая ограничение доступа к внешним файловым хранилищам и блокировку подозрительных сетевых подключений.
Подробнее:
В августе этого года исследователи из необычную кампанию по распространению вредоносного ПО, названного злоумышленниками «Voldemort», что является прямой отсылкой на магическую вселенную Джоан Роулинг. Данное вредоносное ПО подозревается в шпионаже и обладает возможностями сбора информации и загрузки дополнительных компонентов.
Выявленная вредоносная кампания отличается необычными методами, включая использование Google Таблиц для обеспечения -функциональности, что редко встречается в подобных зловредных операциях. Атакующие выдавали себя за налоговые органы различных стран, включая США, Великобританию, Францию, Германию, Италию, Индию и Японию, и направляли фальшивые уведомления о налоговых изменениях организациям по всему миру.
С 5 августа 2024 года злоумышленники направили более 20 000 сообщений в 70 организаций по всему миру. В пике атаки, 17 августа, количество сообщений резко возросло до 6000 в день. Основной целью атакующих, по мнению Proofpoint, является сбор разведывательных данных, хотя окончательные цели пока остаются неизвестными.
«Voldemort» написан на языке C и использует различные методы для сокрытия своей активности, в том числе маскировку под обычные файлы и запуск через без сохранения на компьютер жертвы. Интересно, что вредоносное ПО использует законные инструменты, такие как «CiscoCollabHost.exe», для выполнения своих функций.
Кампанию отличает применение методов, характерных как для кибершпионажа, так и для киберпреступности. Злоумышленники используют такие техники, как злоупотребление файлами с расширением «.search-ms», чтобы скрыть свою активность и вводить жертв в заблуждение относительно источника угрозы.
Несмотря на масштабы и сложность атаки, Proofpoint не смогла с высокой уверенностью определить, какой именно группировке принадлежит данная активность. Эксперты считают, что это может быть новая или малоизвестная группа, обладающая как базовыми, так и продвинутыми навыками.
Вредоносное ПО «Voldemort» активно использует Google Таблицы для обмена данными между заражёнными системами и командным сервером, что делает его уникальным в своём роде. В то же время, использование таких инструментов подчёркивает, что даже шпионские группы могут применять методы, характерные для киберпреступников, что усложняет их выявление и атрибуцию.
Эксперты рекомендуют организациям принимать меры по усилению защиты, включая ограничение доступа к внешним файловым хранилищам и блокировку подозрительных сетевых подключений.
Подробнее: