2024 年 8 月初,ProofPoint 研究人员注意到了一种新的恶意软件。该病毒被幕后网络犯罪分子命名为“伏地魔”,指的是《哈利·波特》传奇中的大坏蛋。根据加州安全公司的调查,这是一个巨大的事件。间谍行动。
最初,黑客首先是窃取“欧洲、亚洲和美国政府税务机关的身份”。自发现恶意活动以来,全球超过 70 个组织被篡夺了。在活动开始时,ProofPoint 每天记录数百条消息。网络犯罪分子很快加快了脚步。 8月17日,黑客在24小时内发送了近6000封电子邮件。
另请阅读:黑客如何利用学年开始窃取您的个人数据
更新您的“税务信息”
在法国,海盗选择冒充公共财政总局,负责征收税收和社会保障缴款的行政部门。然后,黑客将通过电子邮件联系受害者。该电子邮件指出“作为更新税率和现行税收制度的一部分,必须审查您的税务信息”。攻击者要求受害者更新他们的信息“尽快提供个人和税务信息”。
“此更新对于您的申报的顺利进行和纳税义务的精确计算至关重要”,解释欺诈性电子邮件以促使目标遵守。
为了更新其税务信息,互联网用户必须下载附件电子邮件随附的内容。不出所料,该文档将导致 Voldemort 恶意软件下载到您的计算机上。具体来说,它将依赖 URI 协议处理程序“search-ms:”来打开负责推送恶意软件的在线文件。内置于 Windows 中的“search-ms:”将在 PC 上启动自定义搜索。它可以轻松地查找机器上的文件或信息。该工具被黑客大量滥用。微软承认,该协议具有例如被俄罗斯黑客利用 APT28。
“通常,黑客会滥用 Windows 搜索协议 (search-ms) 来显示远程计算机本地文件夹中托管的文件。这种技术经常被用来部署各种远程访问木马 »ProofPoint 指出。
Google Sheets 作为控制服务器
通常,网络犯罪分子使用命令和控制服务器与感染恶意软件的设备进行通信。在这种情况下,它是谷歌表格,著名的在线电子表格,被改用为服务器。为了接收指令,病毒会连接到电子表格服务。这是一个非常不寻常的程序。
一旦出现在目标计算机上并连接到表格,Voldemort 就可以测试与其服务器的连接、列出和索引系统上的文件、下载或发送文件、执行命令、暂停或完全关闭。显然,黑客在计算机上获取了他们想要的东西:机密数据。
国家资助的间谍活动
在间谍的取景器中,我们本质上发现保险公司。根据 ProofPoint 的说法,Voldemort 的目的是接管某些公司持有的信息。该病毒还针对航空航天、交通和教育领域的公司。 ProofPoint 认为网络攻击很可能是由一群政府资助的海盗。
然而,目前研究人员还无法将其追溯到特定的小群体。据我们的同事报道电脑发出蜂鸣声,一个代号为 APT41 的团伙过去已经通过利用 Google 表格而名声大噪。在中国政府的支持下,该团伙依靠一种名为“Google Command and Control”的开源工具,旨在出于恶意目的劫持合法的 Google 服务,例如 Google Sheets、Google Forms 或 Google Drive。十多年来,它以针对美国、亚洲和欧洲的行业而闻名。
来源 : 证明点
