بدافزار گوگل شیت: تهدیدی پیشرفته برای سازمان‌ها

پژوهشگران امنیت سایبری از کمپین بدافزاری جدیدی پرده برداشتند که از گوگل شیت (Google Sheets) به صورت سازوکار فرمان و کنترل (command-and-control یا C2) استفاده می‌کند.

این کمپین بدافزاری که توسط شرکت Proofpoint و در پنجم آگوست ۲۰۲۴ شناسایی شد، هویت مسئولان مالیاتی چندین دولت اروپایی، آسیایی و حتی ایالات متحده را جعل می‌کند و بیش از ۷۰ سازمان را در سرتاسر جهان با استفاده از ابزاری به نام Voldemort هدف گرفته است. این ابزار می‌تواند اطلاعات را گردآوری کند و پی‌لودهای اضافی تحویل دهد.

در این کمپین بدافزاری، بخش‌هایی شامل بیمه، هوافضا، حمل و نقل، آموزش، مالی، فناوری، صنعتی، بهداشت، خودروسازی، انرژی، دولت، رسانه، تولید و ... هدف قرار گرفته‌اند. با اینکه حدود ۲۰ هزار ایمیل در این کمپین برای اهداف ارسال شده‌ است، اما هنوز مشخص نیست که کدام گروه هکری پشت این کمپین گسترده است.

سازوکار کمپین بدافزاری گوگل شیت

در این کمپین بدافزاری، ایمیل‌هایی برای اهداف ارسال می‌شوند و به آن‌ها هشدار می‌دهند که تغییراتی در فرم‌های مالیاتی آن‌ها ایجاد شده است و باید فورا روی URLهای کش Google AMP کلیک کنند. این ایمیل‌ها از طرف کاربرانی که هویت مقامات مالیاتی را جعل می‌کنند، ارسال می‌شوند. کاربران هدف با کلیک روی این URLها، به صفحه‌ای هدایت می‌شوند که در آن، رشته User-Agent بررسی می‌شود تا تعیین شود که آیا سیستم عامل، ویندوز است یا خیر.

به گفته این شرکت امنیت سایبری، در صورتی که سیستم عامل، ویندوز باشد، با استفاده از search-ms: URL protocol handler، یک شورتکات ویندوز (LNK) نمایش داده می‌شود که از ادوبی آکروبات ریدر استفاده می‌کند تا به صورت یک فایل PDF نمایش داده شود و قربانی را فریب دهد که روی آن کلیک کند. در صورتی که LNK اجرا شود، از PowerShell برای اجرای Python.exe از یک WebDAV share سوم در همان تونل (/library/) استفاده می‌کند و کد پایتون را به صورت یک آرگومان به یک share چهارم (\resource\) روی همان هاست مشابه انتقال می‌دهد. در نتیجه متعلقات به صورت مستقیم از WebDAV share بارگذاری می‌شوند و پایتون، کد را بدون دانلود هیچ فایلی از کامپیوتر، اجرا می‌کند.

این کد پایتون به گونه‌ای طراحی شده است که اطلاعات سیستم را گردآوری و داده‌ها را به صورت یک رشته کدگذاری‌شده با Base64 به یک دامنه تحت کنترل هکر ارسال می‌کند. سپس، یک PDF جعلی به کاربر نمایش می‌دهد و و یک فایل زیپ پسوردگذاری‌شده را از OpenDrive دانلود می‌کند.

فایل زیپ، حاوی دو فایل است؛ یک فایل اجرایی سالم تحت عنوان CiscoCollabHost.exe که در برابر DLL side-loading آسیب‌پذیر است و یک فایل بدافزاری تحت عنوان CiscoSparkLauncher.dll (یا همان Voldemort) که sideload شده است. Voldemort نوعی بک‌دور نوشته‌شده به زبان C است که توانایی گردآوری اطلاعات و لوک کردن next-stage payloadها را دارد. این بدافزار از گوگل شیت برای حمله فرمان و کنترل (C2)، استخراج داده و اجرای فرمان‌ها از طرف هکرها، استفاده می‌کند. شرکت Proofpoint این کمپین بدافزاری را جزء تهدیدات پایدار پیشرفته (APT) دسته‌بندی کرده است.

به گفته پژوهشگران این شرکت امنیت سایبری، هکرها از URLها برای دسترسی به منابع به اشتراک‌گذاری فایل خارجی، به خصوص WebDAV و Server Message Block (SMB) برای استیجینگ بدافزارها سوء استفاده می‌کنند. استفاده از این رویکرد در بین خانواده‌های بدافزاری مثل Latrodectus، Darkgate و XWorm که به صورت بروکرهای دسترسی اولیه (IABها) عمل می‌کنند، روز به روز در حال افزایش است.

شرکت Proofpoint در انتها اشاره می‌کند که توانسته است محتواهای گوگل شیت را بخواند و شش قربانی را شناسایی کند که ظاهرا یکی از آن‌ها، یک جعبه شن یا یک پژوهشگر شناخته‌شده است. به گفته پژوهشگران این شرکت، در حالی که بسیاری از مشخصات کمپین بدافزاری، با جرائم‌سایبری همخوانی دارد، به نظر می‌رسد که این کمپین، تلاشی برای جاسوسی باشد که اهداف نهایی آن، مشخص نیست.

چطور می‌توانیم جلوی حملات مشابه را بگیریم؟

موفقیت این کمپین بدافزار گوگل شیت نیز مثل هر حمله سایبری دیگری در گروی اشتباهات کاربران هدف و پرسنل سازمان‌ها است. بنابراین، ضرورت دارد که سازمان‌ها، برنامه‌های آگاه‌سازی سایبری پرسنل را جدی بگیرند. از سوی دیگر، همانطور که در مورد این حمله نیز دیده می‌شود، ایمیل، یکی از اصلی‌ترین وکتورهای حمله است.
سازمان‌ها می‌توانند با استفاده از راهکار امنیت ایمیل سایبرنو که هر ایمیل را با بیش از ۳۰ آنتی ویروس، اسکن می‌کند، برای مقابله با ایمیل‌های بدافزاری، ایمیل‌های تبلیغاتی و دیگر ایمیل‌های اسپم، استفاده کنند.