Voldemort恶意软件活动正在全球范围内蔓延，向70多个组织发送了超过20000封网络钓鱼电子邮件，单日发送的电子邮件数量最高达到6000封。

一个名为“伏地魔”的新恶意软件活动正在全球范围内秘密传播，目标是保险、航空航天、交通运输和教育等各个领域的组织。

该活动于2024年8月5日开始，已向70多个组织发送了超过20000封网络钓鱼电子邮件，单日发送的电子邮件数量最高达到6000封。根据Proofpoint最近的一份报告，这种恶意活动被认为是复杂的网络间谍活动的一部分。

Voldemort活动采用了复杂的攻击链，结合了常见和不常见的技术。最引人注目的一点是使用Google表格进行指挥和控制(C2)操作——这是一种不常见的方法，凸显了威胁行为者的创造力。

根据Proofpoint分享的技术博客文章，攻击活动始于看似来自合法税务机构的网络钓鱼电子邮件。这些电子邮件包含链接，将收件人引导至InfinityFree上托管的登录页面或直接引导至恶意文件。

当受害者点击登录页面上的“查看文档”按钮时，浏览器的用户代理会被检查。如果系统被识别为Windows，则用户会被重定向到search-ms URI，它会默默提示Windows资源管理器显示快捷方式(LNK)文件或伪装成PDF的ZIP文件。

如果受害者执行LNK文件，则会触发一系列操作，导致部署Voldemort恶意软件。该恶意软件能够收集系统信息、上传文件以及从命令与控制(C2)服务器执行其他命令。

虽然该活动的特征表明其重点是网络间谍活动，但一些策略更常与网络犯罪活动有关。例如，滥用Windows搜索协议(search-ms)来部署远程访问木马(RAT)是网络犯罪中越来越常见的一种技术。

此外，该活动使用Cloudflare Tunnels（特别是TryCloudflare功能），使威胁行为者无需帐户即可创建一次性隧道，从而增加了另一层匿名性并使检测更具挑战性。

Voldemort是一个用C编写的自定义后门，具有高级信息收集功能。它利用CiscoCollabHost.exe（一个易受DLL劫持的合法可执行文件）来加载恶意DLL。然后，该恶意软件使用Google Sheets与其C2服务器通信，在那里它可以执行下载文件、执行程序等命令。

该恶意软件还采用了独特的字符串解密方法并动态调用API，这些技术通常出现在Cobalt Strike等更复杂的威胁中。

到目前为止，Proofpoint还不能高度肯定地将此活动归因于任何已知的威胁行为者。先进的间谍技术和更常见的网络犯罪策略的混合使归因过程变得复杂。该活动的规模之大，加上恶意软件的高度定制，表明它可能是一个高级持续威胁(APT)组织的作品。

对此，Qualys威胁研究部门安全研究经理Mayuresh Dani先生建议全球各地的组织实施适当的安全措施来应对Voldemort恶意软件和其他此类威胁。

“组织应采取被动和主动的方式来保护员工数据，首先是实施垃圾邮件过滤器——对某些处于危险中的用户进行严格设置。对于首次从未知/不受信任的域名发送电子邮件的人，应使用AI和LLM的垃圾邮件和语言过滤器，”Mayuresh说。

“他们还应该加强用户教育，这将有助于清除最终发送的任何虚假电子邮件。作为一种被动手段，他们应该监控公司关键资源的泄漏源并将其清除，”他建议道。

Voldemort恶意软件活动采用了多种技术，因此很难区分网络犯罪和间谍活动。该活动能够使用Google Sheets等非常规C2方法逃避检测，其全球影响力和高调目标表明，除非用户掌握网络安全基础知识来保护自己，否则网络犯罪分子将始终领先一步。