Cyberaanvallers misbruiken Google Sheets voor malwarebestrijding in waarschijnlijke spionagecampagne

Cybersecurityonderzoekers hebben een nieuwe malwarecampagne ontdekt die Google Sheets gebruikt als een command-and-control (C2)-mechanisme.

De activiteit, die Proofpoint vanaf 5 augustus 2024 ontdekte, imiteert belastingdiensten van overheden in Europa, Azië en de VS. Het doel is om meer dan 70 organisaties wereldwijd aan te vallen met een speciaal hulpmiddel genaamd Voldemort, dat informatie verzamelt en aanvullende informatie levert.

De sectoren die het doelwit vormen, zijn onder meer verzekeringen, lucht- en ruimtevaart, transport, de academische wereld, financiën, technologie, industrie, gezondheidszorg, automobielindustrie, horeca, energie, overheid, media, productie, telecom en maatschappelijke organisaties.

De vermoedelijke cyberespionagecampagne is niet toegeschreven aan een specifieke genoemde dreigingsactor. Er zijn maar liefst 20.000 e-mailberichten verzonden als onderdeel van de aanvallen.

Deze e-mails zijn afkomstig van belastingdiensten uit de VS, het VK, Frankrijk, Duitsland, Italië, India en Japan. Ze waarschuwen ontvangers over wijzigingen in hun belastingaangiftes en dringen er bij hen op aan om op Google AMP Cache-URL’s te klikken die gebruikers doorverwijzen naar een tussenliggende landingspagina.

De pagina controleert de User-Agent-tekenreeks om te bepalen of het besturingssysteem Windows is. Als dat het geval is, wordt de URI-protocolhandler search-ms: gebruikt om een ​​Windows-snelkoppelingsbestand (LNK) weer te geven dat Adobe Acrobat Reader gebruikt om zich voor te doen als een PDF-bestand, in een poging het slachtoffer ertoe te verleiden het bestand te openen.

“Als de LNK wordt uitgevoerd, wordt PowerShell aangeroepen om Python.exe uit te voeren vanaf een derde WebDAV-share op dezelfde tunnel (library), waarbij een Python-script op een vierde share (resource) op dezelfde host als argument wordt doorgegeven”, aldus Proofpoint-onderzoekers Tommy Madjar, Pim Trouerbach en Selena Larson.

“Hierdoor wordt het script door Python uitgevoerd zonder dat er bestanden naar de computer worden gedownload. Afhankelijkheden worden rechtstreeks vanuit de WebDAV-share geladen.”

Het Python-script is ontworpen om systeemgegevens te verzamelen en de gegevens in de vorm van een Base64-gecodeerde tekenreeks naar een door de actor aangestuurd domein te sturen. Vervolgens wordt een lok-PDF aan de gebruiker getoond en wordt een met een wachtwoord beveiligd ZIP-bestand van OpenDrive gedownload.

Het ZIP-archief bevat twee bestanden: een legitiem uitvoerbaar bestand, “CiscoCollabHost.exe”, dat gevoelig is voor sideloading van DLL, en een schadelijk DLL-bestand, “CiscoSparkLauncher.dll” (bijvoorbeeld Voldemort), dat is sideloaded.

Voldemort is een op maat gemaakte backdoor die is geschreven in C en die mogelijkheden biedt voor het verzamelen van informatie en het laden van volgende fase-payloads. De malware maakt hierbij gebruik van Google Sheets voor C2, data-exfiltratie en het uitvoeren van opdrachten van de operators.

Proofpoint beschreef de activiteit als gerelateerd aan geavanceerde persistente bedreigingen (APT), maar met een ‘cybercrime-gevoel’ vanwege het gebruik van technieken die populair zijn in de e-crimewereld.

“Dreigende actoren misbruiken bestandsschema-URI’s om toegang te krijgen tot externe bronnen voor het delen van bestanden voor malware-staging, met name WebDAV en Server Message Block (SMB). Dit wordt gedaan door het schema ‘file://’ te gebruiken en te verwijzen naar een externe server die de schadelijke inhoud host”, aldus de onderzoekers.

Deze aanpak wordt steeds vaker toegepast bij malwarefamilies die fungeren als Initial Access Broker (IAB), zoals Latrodectus, DarkGate en XWorm.

Bovendien zei Proofpoint dat het de inhoud van het Google Sheet kon lezen en in totaal zes slachtoffers kon identificeren, waaronder één waarvan men denkt dat het een sandbox of een ‘bekende onderzoeker’ is.

De campagne is als ongewoon bestempeld, wat de mogelijkheid doet ontstaan ​​dat de dreigingsactoren een breed net uitwierpen voordat ze zich op een kleine groep doelen richtten. Het is ook mogelijk dat de aanvallers, waarschijnlijk met verschillende niveaus van technische expertise, van plan waren om meerdere organisaties te infecteren.

“Hoewel veel van de kenmerken van de campagne overeenkomen met cybercriminele dreigingsactiviteiten, schatten wij in dat het hier waarschijnlijk om spionageactiviteiten gaat die tot nu toe onbekende einddoelen dienen”, aldus de onderzoekers.

“De Frankensteiniaanse combinatie van slimme en geavanceerde mogelijkheden, gecombineerd met zeer basale technieken en functionaliteit, maakt het moeilijk om het niveau van de capaciteiten van de dreigingsactor te beoordelen en met grote zekerheid de uiteindelijke doelen van de campagne te bepalen.”

De ontwikkeling vindt plaats nadat Netskope Threat Labs een bijgewerkte versie van Latrodectus (versie 1.4) heeft ontdekt. ​​Deze versie beschikt over een nieuw C2-eindpunt en voegt twee nieuwe backdoor-opdrachten toe waarmee shellcode van een opgegeven server kan worden gedownload en willekeurige bestanden van een externe locatie kunnen worden opgehaald.

“Latrodectus is behoorlijk snel geëvolueerd en heeft nieuwe functies aan zijn payload toegevoegd,” aldus beveiligingsonderzoeker Leandro Fróes. “Het begrip van de updates die op zijn payload zijn toegepast, stelt verdedigers in staat om geautomatiseerde pipelines correct in te stellen en de informatie te gebruiken voor verdere jacht op nieuwe varianten.”

Thijs Van der Does