Ramt af Voldemort

Af Eskil Sørensen, 03/09/24

Ukendt gruppe slipper bagdøren Voldemort løs vha. Google Sheets.

De færreste har lyst til at møde Voldemort. Bare det at nævne navnet får jorden til at ryste - i al fald hvis man bevæger sig i Harry Potter-universet.

Men nu er der noget, der tyder på, at jorden er ved at ryste under en "masse" organisationer efter de har mødt noget, der har fået navnet Voldemort.

Det er Infosceurity Magazine, der skriver historien på baggrund af en blog fra sikkerhedsfirmaet Proofpoint, hvis researchere har opdaget en stor international cyberspionagekampagne, der allerede har påvirket over 70 organisationer i forskellige brancher. En fjerdedel af ofrene skal være forsikringsselskaber, mens rumfart, transport og universiteter samlet set ligeledes dækker en fjerdedel. Resten udgør stort set alle sektorer, hvilket tyder på, aktøren bag kampagnen i første omgang i al fald har skudt med spredehagl i håb om at ramme noget og ikke strategisk har udvalgt sig én sektor eller ét mål.

Angrebsvektoren er en kampagne bestående af mindst 20.000 phishing-emails, der er blevet sendt ud fra den 5. august 2024 fra det, der foregiver at komme fra lokale skattemyndigheder. Der er tale om skræddersyede mails, der er skrevet på hhv. engelsk (US/UK), fransk, tysk, italiensk, indisk og japansk.

Som det er klassisk med phishingemails, opfordres modtagerne til at klikke på et link i e-mailen. Dette viser sig at være et ondsindet links, der åbner en søge-ms-fil. Hvis det sker, vil et script indlæse en legitim Cisco WebEx eksekverbar og en ondsindet DLL (CiscoSparkLauncher.dll). Denne bruger DLL side-loading til at installere "Voldemort".

Infostealer

Voldemort gør det muligt at indsamle informationer – altså som en infostealer gør – og ydermere aflevere payloads. Malwaren har ikke en dedikeret command-and-control-server (C2) tilknyttet, men bruger i stedet Google Sheets-infrastruktur til C2, dataeksfiltrering og udførelse af kommandoer fra operatørerne.

Proofpoint skriver i sin blogpost, at de ikke har været i stand til identificere en specifik gruppe, og bemærkede, at dens "frankensteinske sammenlægning af kloge og sofistikerede evner, parret med meget grundlæggende teknikker og funktionalitet gør det svært at vurdere trusselsaktørens evner og ultimative mål for sin kampagne." Proofpoint tilføjer, at der bruges flere teknikker, der bliver mere populære i cyberkriminalitetslandskabet. Kampagnens virkemidler peger på, at der er tale om en kriminel trusselsaktør, men funktionerne i bagdøren mere ligner de funktioner, der typisk findes i de værktøjer, der bruges til spionage. Det gør kampagnen, ifølge Proofpoint, usædvanlig.

Det kan man jo også sige, at Voldemort er.