Kiberkémkedési kampányban terjed a Voldemort malware
2024 augusztusában a Proofpoint kutatói egy szokatlan kampányt azonosítottak, amely egy újszerű támadási láncot használt egyedi kártevőprogramok célba juttatására. A kiberszereplő a malware-t „Voldemort”-nak nevezte el a malware-ben használt belső fájlnevek és karakterláncok alapján. A támadási lánc több, jelenleg a fenyegetések körében népszerű technikát, valamint szokatlan C2 módszereket, például a Google Sheets használatát tartalmazza. Figyelemre méltó a taktikák, technikák és eljárások (TTP-k) kombinációja, a különböző országok kormányzati szerveinek kiadva magukat, valamint a furcsa fájlnevek és jelszavak, mint például a „teszt”, csalogató témák. A kutatók kezdetben azt gyanították, hogy a tevékenység mögött egy red team állhat, azonban az üzenetek nagy mennyisége és a kártevő elemzése nagyon gyorsan jelezte, hogy egy kiberszereplőről van szó.
A Proofpoint értékelése szerint mérsékelt biztonsággal valószínűsíthető, hogy egy fejlett, tartós fenyegetés (APT) szereplőjéről van szó, akinek célja a hírszerzés. A Proofpoint azonban nem rendelkezik elegendő adattal ahhoz, hogy nagy megbízhatósággal egy konkrétan megnevezett fenyegető szereplőnek tulajdonítsa. A széles körű célpontok és a jellemzően kiberbűnözői tevékenységre mutató jellemzők ellenére a tevékenység jellege és a rosszindulatú szoftver képességei jelenleg inkább kémkedésre, mint pénzügyi haszonszerzésre utalnak. A Voldemort egy C nyelven írt egyedi backdoor. Képes információgyűjtésre és további hasznos terhek ledobására. A Proofpoint megfigyelte a Cobalt Strike-ot, amelyet a szereplő infrastruktúráján tároltak, és valószínű, hogy ez az egyik olyan hasznos teher, amelyet szállítottak. A 2024. augusztus 5-én kezdődő rosszindulatú tevékenység több mint 20 000 üzenetet tartalmazott, amelyek több mint 70 szervezetet érintettek világszerte. Az üzenetek állítólag különböző adóhatóságoktól érkeztek, amelyek a címzetteket az adóbevallásaikban bekövetkezett változásokról értesítették. A kampány során a szereplő az Egyesült Államok, az Egyesült Királyság, Franciaország, Németország, Olaszország, augusztus 19-től pedig India és Japán adóhatóságainak adta ki magát. Minden csalit személyre szabtak, és a megszemélyesítendő hatóság nyelvén írták.
