Voldemort 惡意軟體:它是什麼以及如何保持安全
另一場惡意軟體活動又來了,為全球多個產業的組織帶來了重大風險。這種複雜的惡意軟體被研究人員命名為“Voldemort”,它利用 Google Sheets 等意想不到的工具來執行攻擊,使其獨特且危險。以下是您需要了解的有關 Voldemort 惡意軟體的資訊、其運作方式以及可以採取的保護自己的步驟。
Table of Contents
什麼是 Voldemort 惡意軟體?
Voldemort 是網路安全專家最近發現的一種客製化後門惡意軟體。與傳統惡意軟體不同,Voldemort 使用 Google Sheets 作為其命令和控制 (C2) 機制,使其能夠與其操作員進行通訊並接收指令。該惡意軟體已針對各行業的 70 多個組織,包括保險、金融、醫療保健、科技和政府部門。佛地魔背後的活動被懷疑是更大的網路間諜活動的一部分,儘管確切的肇事者仍不清楚。
Voldemort 惡意軟體因其傳播和執行惡意程式碼的非常規方法而特別令人擔憂。冒充來自不同國家(包括美國、英國和日本)的稅務機關,誘騙收件人點擊看似合法的鏈接,但實際上將其重定向到旨在利用其係統的登陸頁面。
Voldemort 惡意軟體如何運作?
攻擊始於聲稱來自稅務機關的網路釣魚電子郵件,警告收件人其稅務申報發生變化。這些電子郵件包含鏈接,點擊這些鏈接會轉到一個網頁,該網頁可確定受害者是否使用 Windows 作業系統。如果是這樣,該網頁會使用偽裝成 PDF 的 Windows 捷徑檔案來發動攻擊。
一旦用戶被誘騙打開該文件,就會觸發一系列命令。 Windows 捷徑檔案呼叫 PowerShell,後者又從遠端伺服器執行 Python 腳本。該腳本收集系統資訊並將其發送回攻擊者。為了避免檢測,該腳本不會將任何檔案直接下載到受害者的電腦上。相反,它從 WebDAV 共享加載依賴項,這種技術進一步掩蓋了攻擊。
然後,惡意軟體會向使用者顯示誘餌 PDF,以維持合法性的假象,同時下載受密碼保護的 ZIP 檔案。該 ZIP 檔案包含一個容易受到 DLL 側面載入攻擊的合法可執行檔和一個惡意 DLL,即 Voldemort 惡意軟體本身。然後,惡意軟體利用 Google Sheets 竊取資料並執行命令。
這次襲擊的意義
Voldemort 惡意軟體將先進技術和基本技術相結合,使其特別令人震驚。它採用複雜的方法,例如濫用 Google Sheets 進行 C2 通信,同時依靠網路釣魚和使用合法軟體元件等更簡單的策略來逃避偵測。這種新舊策略的混合使得網路安全專家很難充分理解攻擊者的意圖或預測他們的下一步。
該活動似乎範圍廣泛,針對廣泛的行業,並可能在關注特定的高價值目標之前撒下一張廣泛的網來收集情報。這項活動共發送了 20,000 多封網路釣魚電子郵件,儘管成功感染的確切數量仍不清楚,但該活動的規模相當大。
如何保護自己免受 Voldemort 惡意軟體的侵害
雖然 Voldemort 惡意軟體非常複雜,但個人和組織可以採用多種方法來降低感染風險:
- 謹慎對待電子郵件連結:始終驗證電子郵件的真實性,尤其是那些聲稱來自政府機構或其他權威機構的電子郵件。避免點擊來自未知或可疑來源的連結。
- 更新和修補軟體:確保所有軟體(尤其是安全應用程式)都是最新的。這包括針對惡意軟體可能利用的已知漏洞應用修補程式。
- 教育和培訓員工:為員工定期進行網路安全培訓,以識別網路釣魚企圖和其他常見攻擊媒介。
- 實施進階安全措施:使用強大的威脅偵測和回應工具,可以識別和緩解複雜的攻擊,例如涉及 Voldemort 的攻擊。網路監控、端點保護和入侵偵測系統至關重要。
- 備份關鍵數據:定期備份重要數據,以減少潛在惡意軟體攻擊的影響。
透過隨時了解情況並採用強大的網路安全實踐,組織可以防禦 Voldemort 等威脅。網路威脅的情況不斷變化,保持警惕是領先惡意行為者的關鍵。
最後的想法
Voldemort 惡意軟體活動清楚地提醒人們網路犯罪分子的創造力和持久性。透過結合新舊技術,攻擊者正在尋找破壞系統和竊取敏感資訊的新方法。了解這種惡意軟體的運作方式並採取主動措施來保護系統對於防範這種威脅和未來的威脅至關重要。
