Wouter Hoeffnagel - 06 november 2024

Proofpoint koppelt Voldemort-backdoor aan Chinese dreigingsgroep TA415

De Chinese dreigingsgroep TA415, ook bekend als APT41 of Brass Typhoon, verantwoordelijk is voor de Voldemortcampagne. De link naar TA415 is gebaseerd op herkenbare infrastructuur en overlapt met activiteiten die in juli 2024 door Mandiant werden gerapporteerd.

Proofpoint koppelt Voldemort-backdoor aan Chinese dreigingsgroep TA415 image

De Voldemort backdoor is een type malware dat in staat is om op afstand toegang te krijgen tot geïnfecteerde systemen zonder toestemming van de gebruiker, wat het mogelijk maakt voor de aanvaller om activiteiten op het systeem te controleren, data te stelen, en meer. Backdoors zoals deze worden vaak gebruikt door dreigingsactoren om langdurige toegang te behouden tot een netwerk zonder detectie. De Voldemort backdoor wordt gekoppeld aan cyberaanvallen gericht op spionage en informatiestelen, en is mogelijk ontworpen door een geavanceerde dreigingsgroep (APT), zoals TA415/APT41, waarvan men denkt dat het banden heeft met de Chinese overheid.

Ook verstuurd uit naam van Taiwanese luchtvaartorganisatie

In augustus 2024 ontdekte Proofpoint bovendien een specifieke campagne waarbij een bijna identieke aanvalsmethode werd gebruikt om de Voldemort backdoor te verspreiden. Hierbij werd een Taiwanese luchtvaartindustrie-organisatie geïmiteerd, met als doelgerichte slachtoffers luchtvaartbedrijven in de VS en Taiwan. Dit patroon is volgens Proofpoint typerend voor TA415 en vergelijkbare Chinese dreigingsgroepen. Hieronder staat een machinevertaling van een phishingmail uit deze campagne, oorspronkelijk opgesteld in traditioneel Chinees.

Belangrijkste bevindingen uit het onderzoek:

  • De campagne doet zich voor als belastingautoriteiten in de Verenigde Staten, Europa en Azië.
  • De malware lijkt gericht op spionage en informatieverzameling.
  • De aanvalsketen van Voldemort heeft unieke, aangepaste functies, waaronder Google Sheets als command & control (C2) en een opgeslagen zoekbestand op een gedeelde externe schijf.
  • De dreigingsgroep richt zich op 18 sectoren, waarbij bijna een kwart van de aanvallen op de verzekeringsbranche is gericht.

Meer informatie is hier beschikbaar.

Telindus Proximus banner 4 6-11 tm 12-11 Fundaments BW 31-10-2024 tm 15-11-2024