新的 Voldemort 恶意软件滥用 Google Sheets 来存储被盗数据

主要观点总结

这篇文章介绍了一种新型恶意软件活动“Voldemort”，该活动冒充税务机构向全球传播，主要针对保险、航空航天、交通运输和教育行业。Voldemort使用Google Sheets作为命令和控制服务器，具有多种命令和文件管理操作。文章还提供了防御建议。

关键观点总结

关键观点1: 新型恶意软件活动“Voldemort”的传播

该活动冒充税务机构，通过电子邮件传播，已向70多个目标组织发送了20,000多封电子邮件。

关键观点2: Voldemort的特点

Voldemort是一个基于C的后门，支持各种命令和文件管理操作，包括渗透、将新的有效载荷引入系统以及文件删除。它使用Google Sheets作为命令和控制服务器，使用嵌入的客户端ID、密钥和刷新令牌与Google Sheets进行交互。

关键观点3: Voldemort的攻击流程

攻击者通过电子邮件钓鱼，诱骗受害者点击链接，然后重定向到带有搜索协议URI的页面。如果受害者与文件交互，会触发Windows资源管理器显示伪装成PDF的LNK或ZIP文件。该脚本会下载合法的Cisco WebEx可执行文件和恶意DLL，使用DLL侧加载来加载Voldemort。

关键观点4: 防御建议

Proofpoint建议限制对外部文件共享服务的访问，在不需要时阻止与TryCloudflare的连接，并监控可疑的PowerShell执行来防御此活动。

文章预览

一项新的恶意软件活动正在向全球传播一种之前未曾记录的后门“Voldemort”，主要冒充美国、欧洲和亚洲的税务机构。 根据 Proofpoint 的报告，该活动于 2024 年 8 月 5 日开始，已向 70 多个目标组织传播了 20,000 多封电子邮件，在其活动高峰期一天内就达到了 6,000 封。 超过一半的目标组织属于保险、航空航天、交通运输和教育行业。此次攻击活动的幕后威胁者尚不清楚，但 Proofpoint 认为最有可能的目的是进行网络间谍活动。 此次攻击与 Proofpoint 在本月初描述的攻击类似，但最后阶段涉及了不同的恶意软件。 冒充税务机关 Proofpoint 的最新报告称，攻击者正在根据公开信息制作网络钓鱼电子邮件以匹配目标组织的位置。 网络钓鱼电子邮件冒充该组织所在国家的税务机关，声称有更新的税务信息并包含相关文件的链接。 攻击活动中使用的恶意电子邮件样 ………………………………