فولدمورت، وهي حملة للبرامج الضارة تم اكتشافها مؤخرًا، أحدثت ضجة في عالم الأمن السيبراني بسبب تقنياتها المتقدمة وتهديدها المستمر. يستفيد هذا الهجوم المتطور من مزيج من الهندسة الاجتماعية والتسليم المستند إلى الملفات وتكتيكات التهرب لاختراق الأنظمة وسرقة البيانات القيمة.
التصيد الاحتيالي وتسليم الحمولة
تبدأ الحملة برسائل البريد الإلكتروني المخادعة المصممة بعناية والتي تنتحل شخصية وكالات الضرائب من مناطق مختلفة. تحتوي رسائل البريد الإلكتروني هذه على روابط ضارة تقوم، عند النقر عليها، بإعادة توجيه المستخدمين إلى صفحة مقصودة مستضافة على Infinity Free. وفقًا لنظام تشغيل المستخدم، تتم إعادة توجيهه بعد ذلك إما إلى عنوان URI الخاص بـ search-ms أو عنوان URL فارغ في Google Drive.
يتم تسليم الحمولة الخبيثة، المتخفية في شكل PDF، كملف LNK أو ZIP. بمجرد تنفيذه، يقوم هذا الملف بتشغيل برنامج Python النصي من مشاركة WebDAV، وجمع معلومات النظام وعرض ملف PDF شرك لإخفاء أنشطته الضارة.
الباب الخلفي لفولدمورت
الحمولة النهائية، Voldemort، عبارة عن باب خلفي متطور قائم على C يعمل عبر التحميل الجانبي لـ DLL. تسمح هذه التقنية بالتهرب من الاكتشاف من خلال الاستفادة من ملف Cisco WebEx القابل للتنفيذ الشرعي.
تقدم Voldemort مجموعة واسعة من القدرات الضارة، بما في ذلك:
· استخراج الملفات: سرقة البيانات الحساسة من الأنظمة المصابة.
· مقدمة عن الحمولة: نشر برامج ضارة أو أدوات إضافية.
· حذف ملف: محو الأدلة على الهجوم.
· تنفيذ الأوامر عن بُعد: تنفيذ أوامر عشوائية على النظام المصاب.
تسمح مجموعة أوامر البرامج الضارة للجهات الفاعلة في مجال التهديد بالحفاظ على السيطرة المستمرة على الأنظمة المخترقة، مما يجعلها تهديدًا هائلاً.
البنية التحتية للقيادة والتحكم
تستخدم Voldemort Google Sheets كخادم الأوامر والتحكم (C2)، وهو نهج فريد ومبتكر يساعدها على الاندماج مع أنشطة المؤسسة المشروعة. من خلال الاستفادة من واجهة برمجة تطبيقات Google، تتواصل البرامج الضارة مع خادم C2server باستخدام معرف العميل المضمن والسرية ورمز التحديث.
استراتيجيات التخفيف
للدفاع ضد فولدمورت والتهديدات المماثلة، يجب على المنظمات:
· تنفيذ أمان قوي للبريد الإلكتروني: استخدم تقنيات التصفية المتقدمة لاكتشاف رسائل البريد الإلكتروني المخادعة وحظرها.
· تثقيف المستخدمين: قم بتدريب الموظفين ليكونوا على دراية بعمليات الاحتيال وتجنب النقر على الروابط المشبوهة.
· تقييد الوصول الخارجي: قصر الوصول إلى خدمات مشاركة الملفات الخارجية على الكيانات الموثوق بها فقط.
· مراقبة حركة مرور الشبكة: استخدم أدوات مراقبة الشبكة لاكتشاف الأنشطة غير العادية والإصابات المحتملة بالبرامج الضارة.
· نقاط الضعف في التصحيح: حافظ على تحديث البرامج وأنظمة التشغيل لمعالجة العيوب الأمنية المعروفة.
· تنفيذ المصادقة متعددة العوامل (MFA): أضف طبقة أمان إضافية للوصول إلى الحساب.
.png)
.png)