Atacatorii vizează organizațiile din Orientul Mijlociu cu malware-ul camuflat ca instrumentul legitim Palo Alto GlobalProtect, care poate fura date și executa comenzi PowerShell de la distanță pentru a se infiltra și mai adânc în rețelele interne.
Palo Alto GlobalProtect este o soluție de securitate legitimă oferită de Palo Alto Networks, care oferă acces VPN securizat cu suport pentru autentificare multi-factor. Organizațiile folosesc pe scară largă produsul pentru a se asigura că angajații la distanță, contractanții și partenerii pot accesa în siguranță resursele rețelei private.
Folosirea lui Palo Alto GlobalProtect ca momeală arată că atacatorii se concentrează pe entități corporative de mare valoare care folosesc software enterprise, în loc de utilizatori aleatori.
Cercetătorii de la Trend Micro care au descoperit această campanie nu au informații despre modul în care malware-ul este livrat, dar pe baza momelei folosite, ei cred că atacul începe cu un email de pescuit.
Victima execută un fișier numit ‘setup.exe’ pe sistemul său, care implementează un fișier numit ‘GlobalProtect.exe’ împreună cu fișiere de configurare.
În acest stadiu, apare o fereastră care seamănă cu un proces normal de instalare GlobalProtect, dar malware-ul se încarcă în mod silențios pe sistem în fundal.
La execuție, acesta verifică semnele de rulare pe un sandbox înainte de a executa codul său principal. Apoi, transmite informații de profilare despre mașina compromisă către serverul de comandă și control (C2).
Ca strat suplimentar de evaziune, malware-ul folosește criptare AES pe șirurile și pachetele sale de date care urmează să fie exfiltrate către C2.
Adresa C2 văzută de Trend Micro a folosit un URL recent înregistrat care conține șirul ‘sharjahconnect’, făcându-l să pară ca un portal legitim de conectare VPN pentru birourile cu sediul în Sharjah, Emiratele Arabe Unite.
Având în vedere domeniul de acțiune al campaniei, această alegere ajută atacatorii să se amestece cu operațiunile normale și să reducă semnalele de alarmă care ar putea stârni suspiciunile victimelor.
Farurile trimise la intervale periodice sunt folosite pentru a comunica starea malware-ului cu atacatorii în faza de post-infecție folosind instrumentul open-source Interactsh.
În timp ce Interactsh este un instrument open-source legitim folosit în mod obișnuit de pentesteri, domeniul său asociat, oast.fun, a fost de asemenea observat în operațiuni de nivel APT în trecut, precum în campaniile APT28. Cu toate acestea, nu s-a făcut nicio atribuire în această operațiune folosind momeala produsului Palo Alto.
Comenzile primite de la serverul de comandă și control sunt:
Trend Micro observă că, în timp ce atacatorii rămân necunoscuți, operațiunea pare foarte țintită, folosind URL-uri personalizate pentru entitățile vizate și domenii C2 proaspăt înregistrate pentru a evita listele de blocare.
Malware-ul Linux ‘sedexp’ fără zgomot a evitat detectarea timp de doi ani
Hackerii folosesc exploit-ul PHP pentru a sparge sistemele Windows cu un nou malware
Domeniile Azure și Google sunt folosite pentru a răspândi dezinformare și malware
Hackerii care se dau drept Serviciul de Securitate al Ucrainei infectează 100 de PC-uri guvernamentale
Noul malware LianSpy se ascunde blocând o caracteristică de securitate Android
Leave a Reply