Выявленная вредоносная кампания отличается необычными методами, включая использование Google Таблиц для обеспечения C2-функциональности. Атакующие выдавали себя за налоговые органы различных стран, включая США, Великобританию, Францию, Германию, Италию, Индию и Японию, и направляли фальшивые уведомления о налоговых изменениях организациям по всему миру.
С начала августа текущего года злоумышленники направили более 20 000 сообщений в 70 организаций по всему миру.
Вредоносное ПО Voldemort активно использует Google Таблицы для обмена данными между зараженными системами и командным сервером, что делает его уникальным в своем роде. Также кампанию отличает применение методов, характерных как для кибершпионажа, так и для киберпреступности.
Руководитель лаборатории исследований кибербезопасности аналитического центра кибербезопасности «Газинформсервиса» Вадим Матвиенко говорит, что Voldemort – это яркий пример шпионских программ. «Процесс выявления шпионского ПО представляет собой нетривиальную задачу, которая требует комплексного подхода. Для ее решения необходимо использовать множество средств защиты информации (СЗИ) и специалистов, умеющих с ними работать. В центрах мониторинга безопасности (SOC) происходит объединение опыта практикующих специалистов в области информационной безопасности (ИБ) и информации, получаемой от СЗИ, что позволяет наиболее эффективно выявлять атаки таких ПО», – говорит киберэксперт Матвиенко.