新マルウェアVoldemort(ヴォルデモート)、盗難データの保管にGoogle Sheetsを利用
BleepingComputer – August 30, 2024
これまで知られていなかったバックドア「Voldemort(ヴォルデモート)」を使って世界各地の組織を狙う新たなキャンペーンについて、Proofpointが報告。2024年8月5日に始まったこのマルウェアキャンペーンでは、税務当局が送信元であると見せかけたフィッシングメールが米国、ヨーロッパ、アジアの70を超える組織に20,000通以上届いているという。
Proofpointの新たなレポートによれば、フィッシングメールの内容は税務関連の情報が更新されたことを伝えるもので、それについての文書へ飛ぶためのリンクが記載されている。送信者は標的組織が位置する国の税務当局を詐称しており、文面や使用言語もその国に合わせてカスタマイズされているという。なりすましの対象になった当局には、日本の国税庁も含まれる。
文中のリンクは、InfinityFreeでホストされるランディングページへ繋がっており、ユーザーはそこから「文書を見るにはここをクリックしてください」とのボタンが表示されたページへとリダイレクトされる。このページはボタンがクリックされた際ブラウザのユーザーエージェントをチェック。Windows向けのものだった場合、以下のような流れでVoldemortがロードされるという。
- search-msのURIにユーザーがリダイレクトされる。
- ユーザーがsearch-msファイルを開くと、Windows Explorerが起動してPDFに見せかけたLNKファイルまたはZIPファイルが表示される。
- search-msの利用により、外部のWebDAV/SMBシェア上でホストされる同ファイルがユーザー自身のPC内に置かれているように見せかけることができる。
- 騙されたユーザーがこのファイルを開くと、別のWebDAVシェアからPythonスクリプトが実行され、システム情報の収集が行われると同時に、悪意ある行為を隠すための囮となるPDFファイルが表示される。
- 同じスクリプトにより、正規のCisco WebEx実行ファイル(CiscoCollabHost.exe)と悪意あるDLL(CiscoSparkLauncher.dll)がダウンロードされる。このDLLサイドローディングによりVoldemortがロードされる。
VoldemortはCベースのバックドアで、データ抜き取り、新たなペイロードの投入、ファイル削除といったさまざまなコマンドおよびファイル管理機能に対応している。C2および盗んだデータの保管のためにGoogle Sheetsという企業等で広く使われるツールを用いることから、セキュリティツールによってネットワーク通信の異常を検知しづらいとされている。
対応コマンドには以下があるとのこと。
- Ping:マルウェアとC2サーバー間の接続をテストする
- Dir:感染先のシステムのディレクトリリスティングを確認する
- Download:感染先のシステムからC2サーバーへとファイルをダウンロードする
- Upload:C2サーバーから感染先システムへとファイルをアップロードする
- Exec:感染先のシステム上で特定のコマンドまたはプログラムを実行する
- Copy:感染先のシステム内でファイルやディレクトリをコピーする
- Move:感染先のシステム内でファイルやディレクトリを移動させる
- Sleep:マルウェアを指定した期間だけスリープモードにする
- Exit:感染先のシステム上でのマルウェアのオペレーションを終了させる