2024 年 8 月初,ProofPoint 研究人員注意到了一種新的惡意軟體。該病毒被幕後網路犯罪分子命名為“佛地魔”,指的是《哈利波特》傳奇中的大壞蛋。根據加州安全公司的調查,這是一個巨大的事件。間諜行動。
最初,駭客首先是竊取“歐洲、亞洲和美國政府稅務機關的身份”。自從發現惡意活動以來,全球超過 70 個組織被篡奪了。在活動開始時,ProofPoint 每天記錄數百則訊息。網路犯罪分子很快就加快了腳步。 8月17日,駭客在24小時內發送了近6,000封電子郵件。
另請閱讀:駭客如何利用學年開始竊取您的個人數據
更新您的“稅務資訊”
在法國,海盜選擇冒充公共財政總局,負責徵收稅收和社會保障繳款的行政部門。然後,駭客將透過電子郵件聯繫受害者。該電子郵件指出“作為更新稅率和現行稅收制度的一部分,必須審查您的稅務資訊”。攻擊者要求受害者更新他們的訊息“盡快提供個人和稅務資訊”。
“此更新對於您的申報的順利進行和納稅義務的精確計算至關重要”,解釋詐騙電子郵件以促使目標遵守。
為了更新其稅務信息,互聯網用戶必須下載附件電子郵件隨附的內容。不出所料,該文件將導致 Voldemort 惡意軟體下載到您的電腦。具體來說,它將依賴 URI 協議處理程序「search-ms:」來開啟負責推送惡意軟體的線上檔案。內建於 Windows 中的「search-ms:」將在 PC 上啟動自訂搜尋。它可以輕鬆地查找機器上的文件或資訊。該工具被駭客大量濫用。微軟承認,該協議具有例如被俄羅斯駭客利用 APT28。
「通常,駭客會濫用 Windows 搜尋協定 (search-ms) 來顯示遠端電腦本機資料夾中託管的檔案。這種技術經常被用來部署各種遠端存取木馬 »ProofPoint 指出。
Google Sheets 作為控制伺服器
通常,網路犯罪分子會使用命令和控制伺服器與感染惡意軟體的裝置進行通訊。在這種情況下,它是谷歌表格,著名的線上電子表格,被改用為伺服器。為了接收指令,病毒會連接到電子表格服務。這是一個非常不尋常的程序。
一旦出現在目標電腦上並連接到表格,Voldemort 就可以測試與其伺服器的連接、列出和索引系統上的檔案、下載或傳送檔案、執行命令、暫停或完全關閉。顯然,駭客在電腦上獲取了他們想要的東西:機密資料。
國家資助的間諜活動
在間諜的取景器中,我們本質上發現保險公司。根據 ProofPoint 的說法,Voldemort 的目的是接管某些公司持有的資訊。該病毒也針對航空航太、交通和教育領域的公司。 ProofPoint 認為網路攻擊很可能是由一群政府資助的海盜。
然而,目前研究人員還無法將其追溯到特定的小群體。根據我們的同事報道電腦發出蜂鳴聲,一個代號為 APT41 的團夥過去已經透過利用 Google 試算表而聲名大噪。在中國政府的支持下,該團體依靠一種名為「Google Command and Control」的開源工具,旨在出於惡意目的劫持合法的 Google 服務,例如 Google Sheets、Google Forms 或 Google Drive。十多年來,它以針對美國、亞洲和歐洲的產業而聞名。
來源 : 證明點
