研究人員發現有一個新的惡意軟件活動通過冒充美國、歐洲和亞洲的稅務機構，向世界各地的組織傳播一種名為 “Voldemort ”的后門程序，該后門程序此前從未被記錄過 。

根據 Proofpoint 的一份報告，該活動始于 2024 年 8 月 5 日，已向 70 多個目標組織傳播了 2 萬多封電子郵件，在活動高峰期一天就達到了 6000 封。這其中超過一半的目標組織屬于保險、航空航天、運輸和教育部門。這次活動背后的威脅行為者尚不清楚，但 Proofpoint 認為最有可能的目的是進行網絡間諜活動。

這次攻擊與 Proofpoint 在月初描述的情況類似，但在最后階段涉及不同的惡意軟件集。

冒充稅務機關炮制釣魚郵件

根據Proofpoint 的一份新報告稱，攻擊者正在根據公共信息制作與目標組織所在地相匹配的網絡釣魚電子郵件。這些釣魚郵件冒充組織所在國家的稅務機關，聲稱有最新的稅務信息，并包含相關文件的鏈接。

活動中使用的惡意電子郵件樣本，來源：Proofpoint

點擊鏈接后，收件人會進入一個由 InfinityFree 托管的登陸頁面，該頁面使用谷歌 AMP 緩存 URL 將受害者重定向到一個帶有 “點擊查看文檔 ”按鈕的頁面。

點擊按鈕后，頁面會檢查瀏覽器的用戶代理，如果是 Windows 系統，則會將目標重定向到指向 TryCloudflare 通道 URI 的 search-ms URI（Windows 搜索協議）。非 Windows 用戶會被重定向到一個空的 Google Drive URL，該 URL 不會提供任何惡意內容。

如果受害者與 search-ms 文件交互，Windows 資源管理器就會被觸發，顯示偽裝成 PDF 的 LNK 或 ZIP 文件。

URI 最近在網絡釣魚活動中很流行，因為即使該文件托管在外部 WebDAV/SMB 共享上，它也會被偽裝成本地下載文件夾中的文件，誘騙受害者打開。

讓文件看起來就像在受害者的電腦上一樣，來源：Proofpoint

Proofpoint 發現，有一種惡意軟件會從另一個 WebDAV 共享中執行一個 Python 腳本，而不會在主機上下載該腳本，該腳本會執行系統信息收集，對受害者進行剖析。與此同時，還會顯示一個誘餌 PDF 來掩蓋惡意活動。

轉移受害者注意力的誘餌 PDF，來源：Proofpoint

該腳本還下載了一個合法的 Cisco WebEx 可執行文件（CiscoCollabHost.exe）和一個惡意 DLL（CiscoSparkLauncher.dll），以使用 DLL 側載加載 Voldemort。

濫用谷歌工作表發動攻擊

Voldemort 是一款基于 C 語言的后門程序，支持多種命令和文件管理操作，包括外滲、向系統引入新的有效載荷和文件刪除。

支持的命令列表如下：

• Ping - 測試惡意軟件與 C2 服務器之間的連接性。
• Dir - 從受感染系統中檢索目錄列表。
• 下載 - 將文件從受感染系統下載到 C2 服務器。
• 上傳 - 將文件從 C2 服務器上傳到受感染系統。
• Exec - 在受感染系統上執行指定命令或程序。
• 復制 - 在受感染系統內復制文件或目錄。
• Move - 移動受感染系統內的文件或目錄。
• Sleep - 在指定時間內使惡意軟件進入睡眠模式，在此期間不會執行任何活動。
• 退出 - 終止惡意軟件在受感染系統上的運行。

Voldemort 的一個顯著特點是將 Google Sheets 用作命令和控制服務器 (C2)，通過 ping 獲取在受感染設備上執行的新命令，并將其作為竊取數據的存儲庫。

每臺受感染的機器都會將數據寫入谷歌工作表中的特定單元格，這些單元格可以用 UUID 等唯一標識符指定，從而確保隔離和更清晰地管理被入侵的系統。

請求從 Google 接收訪問令牌，來源：Proofpoint

Voldemort 使用帶有嵌入式客戶端 ID、秘密和刷新令牌的 Google API 與 Google Sheets 進行交互，這些信息存儲在其加密配置中。

這種方法為惡意軟件提供了一個可靠且高度可用的 C2 通道，還降低了網絡通信被安全工具標記的可能性。由于企業普遍使用 Google Sheets，因此封鎖該服務也是不切實際的。

但為了降低這類攻擊帶來的安全風險，Proofpoint 建議將外部文件共享服務的訪問權限限制在受信任的服務器上，在沒有主動需要的情況下阻止與 TryCloudflare 的連接，并監控可疑的 PowerShell 執行。