Voldemort 恶意软件:它是什么以及如何保持安全
又有一场恶意软件活动来袭,对全球多个行业的组织构成重大风险。研究人员将这种复杂的恶意软件命名为“Voldemort”,它利用 Google Sheets 等意想不到的工具来执行攻击,使其变得独特而危险。以下是您需要了解的有关 Voldemort 恶意软件的信息、其运作方式以及您可以采取的自我保护措施。
Table of Contents
什么是 Voldemort 恶意软件?
Voldemort 是网络安全专家最近发现的一种自定义后门恶意软件。与传统恶意软件不同,Voldemort 使用 Google 表格作为其命令和控制 (C2) 机制,使其能够与其操作员进行通信并接收指令。该恶意软件已针对各个行业的 70 多个组织,包括保险、金融、医疗保健、技术和政府部门。Voldemort 背后的活动被怀疑是更大规模网络间谍活动的一部分,尽管确切的肇事者仍未确定。
Voldemort 恶意软件尤其令人担忧,因为它传播和执行恶意代码的方法非常规。它冒充美国、英国和日本等多个国家的税务机关,诱骗收件人点击看似合法的链接,但实际上会将他们重定向到旨在利用其系统的登录页面。
Voldemort 恶意软件如何运作?
攻击始于声称来自税务机关的钓鱼电子邮件,警告收件人其纳税申报表将发生变化。这些电子邮件中包含链接,点击后会转到一个网页,该网页会确定受害者是否在使用 Windows 操作系统。如果是,该网页会使用伪装成 PDF 的 Windows 快捷方式文件发起攻击。
一旦用户被诱骗打开此文件,就会触发一系列命令。Windows 快捷方式文件会调用 PowerShell,后者又会从远程服务器运行 Python 脚本。此脚本会收集系统信息并将其发送回攻击者。为了避免被发现,该脚本不会直接将任何文件下载到受害者的计算机上。相反,它会从 WebDAV 共享中加载依赖项,这种技术进一步掩盖了攻击。
然后,恶意软件会向用户显示诱饵 PDF,以维持合法性的假象,同时下载受密码保护的 ZIP 文件。此 ZIP 文件包含一个易受 DLL 侧载攻击的合法可执行文件和一个恶意 DLL,后者就是 Voldemort 恶意软件本身。然后,恶意软件会利用 Google 表格窃取数据并执行命令。
此次袭击的意义
Voldemort 恶意软件将高级和基本技术相结合,因此特别令人担忧。它采用了复杂的方法,例如滥用 Google 表格进行 C2 通信,同时依靠更简单的策略(例如网络钓鱼和使用合法软件组件来逃避检测)。这种新旧策略的混合使得网络安全专家很难完全了解攻击者的意图或预测他们的下一步行动。
此次攻击活动范围广泛,针对各行各业,可能先广泛收集情报,然后集中攻击特定的高价值目标。此次攻击活动共发送了 20,000 多封钓鱼邮件,行动规模巨大,即使成功感染的确切数量尚不清楚。
如何保护自己免受 Voldemort 恶意软件的侵害
虽然 Voldemort 恶意软件非常复杂,但个人和组织可以采取多种方法来降低感染风险:
- 谨慎对待电子邮件链接:务必核实电子邮件的真实性,尤其是那些声称来自政府机构或其他权威机构的电子邮件。避免点击来自未知或可疑来源的链接。
- 更新和修补软件:确保所有软件(尤其是安全应用程序)都是最新的。这包括为恶意软件可能利用的已知漏洞打上补丁。
- 教育和培训员工:定期对员工进行网络安全培训,以识别网络钓鱼企图和其他常见的攻击媒介。
- 实施高级安全措施:使用强大的威胁检测和响应工具,可以识别和缓解像 Voldemort 这样的复杂攻击。网络监控、端点保护和入侵检测系统至关重要。
- 备份关键数据:定期备份重要数据以减少潜在恶意软件攻击的影响。
通过保持知情并采取强大的网络安全措施,组织可以抵御像 Voldemort 这样的威胁。网络威胁的格局在不断变化,保持警惕是领先于恶意行为者的关键。
最后的想法
Voldemort 恶意软件活动充分体现了网络犯罪分子的创造力和持久性。通过结合新旧技术,攻击者正在寻找新的方法来破坏系统并窃取敏感信息。了解这种恶意软件的运作方式并采取主动措施保护系统对于防范当前和未来的威胁至关重要。
