Proofpointは8月29日(米国時間)、「The Malware That Must Not Be Named: Suspected Espionage Campaign Delivers “Voldemort”|Proofpoint US」において、マルウェアのコマンド&コントロール(C2: Command and Control)にGoogleスプレッドシートを悪用する新しいサイバー攻撃を発見したと伝えた。この攻撃では、ヨーロッパ、アジア、米国の税務当局を装い、世界中の数十の組織にフィッシングメールを送信したという。
侵害経路
初期アクセスは、標的組織が存在する所在国の税務当局になりすましたフィッシングメールとみられる。攻撃は2024年8月5日頃から確認され、20,000以上のメールが世界中の70を超える組織に送信された。
Proofpointの調査では米国、英国、フランス、ドイツ、イタリア、インド、日本の税務当局になりすましたことが確認されている。また、メールは対象国の言語で記述されていたという。
フィッシングメールには、フィッシングサイトへのリンクが記述されている。フィッシングサイトにアクセスすると「クリックしてドキュメントを表示」と書かれたリンクが表示され、Windowsユーザーがクリックした場合に限り「search-ms」プロトコルにリダイレクトされる。他の環境の場合は空のGoogleドライブにリダイレクトされる。
search-msプロトコルにアクセスすると、Windows検索を実行するためエクスプローラーの起動確認が行われる。ユーザーが許可するとエクスプローラーに悪意のあるLNKファイルが表示される。このとき、エクスプローラーはローカルのDownloadsフォルダーのような表示をするが、実際はリモートのWebDAV共有フォルダーを表示する。
PDFファイルに偽装したLNKファイルを実行すると、PowerShellスクリプトが実行される。PowerShellスクリプトはWebDAV共有上に存在するPythonを悪用して、悪意のあるPythonスクリプトを実行する。Pythonスクリプトはシステム情報などを窃取すると、おとりのPDFファイルを表示し、複数の処理を経て最終的にマルウェア「Voldemort」を実行する。
マルウェア「Voldemort」の特徴
最終的に展開されるマルウェア「Voldemort」は情報窃取機能を持つバックドアとされる。コマンド&コントロールとデータ送信にGoogleスプレッドシートを悪用する。主な機能は次のとおり。
- ネットワーク情報の窃取
- ユーザー情報の窃取
- 「Program Files」および「Program Files (x86)」の一覧の窃取
- 環境変数の窃取
- ファイルのアップロードおよびダウンロード
- コマンドの実行
- ファイルの操作
対策
Proofpointはこの手の攻撃を回避するために、外部ファイル共有サービスへのアクセスをホワイトリスト方式で制限することや、必要のないTryCloudflareへの接続をブロックすることを推奨している。また、この攻撃の初期アクセスがフィッシングメールだったことから、フィッシング対策のベストプラクティスを実践することが望まれている。