Хакеры маскируются под Palo Alto Global Protect для внедрения бэкдорав системы жертв
Хакеры маскируются под Palo Alto GlobalProtect для внедрения бэкдора в системы жертв. Фото: СС0
Palo Alto GlobalProtect — это законное решение безопасности, предлагаемое Palo Alto Networks, которое обеспечивает безопасный доступ к VPN с поддержкой многофакторной аутентификации. Организации широко используют этот продукт, чтобы гарантировать, что удаленные сотрудники, подрядчики и партнеры могут безопасно получать доступ к ресурсам частной сети.
Использование Palo Alto GlobalProtect в качестве приманки показывает, что злоумышленники нацелены на крупные корпоративные организации, а не на случайных пользователей.
Исследователи из Trend Micro, обнаружившие эту кампанию, не имеют представления о том, как распространяется вредоносное ПО, но, основываясь на используемой приманке, полагают, что атака начинается с фишингового письма.
Жертва запускает в своей системе файл с именем «setup.exe», который развертывает файл с именем «GlobalProtect.exe» вместе с файлами конфигурации.
На этом этапе появляется окно, напоминающее обычный процесс установки GlobalProtect, но вредоносная программа незаметно загружается в систему в фоновом режиме.
При выполнении она проверяет наличие признаков работы в песочнице перед выполнением своего основного кода. Затем зловред передает информацию о профилировании взломанной машины на сервер управления и контроля (C2).
В качестве дополнительного уровня обхода безопасности вредоносная программа использует шифрование AES для своих строк и пакетов данных, которые затем передаются на C2.
Адрес C2, обнаруженный Trend Micro, использовал недавно зарегистрированный URL-адрес, содержащий строку «sharjahconnect», что делало его похожим на легитимный портал VPN-подключения для офисов, расположенных в Шардже, Объединенные Арабские Эмираты.
Учитывая масштабы кампании, этот выбор помогает злоумышленникам вписаться в обычные операции и уменьшить количество тревожных сигналов, которые могут вызвать подозрения у жертвы.
Маяки, отправляемые через определенные промежутки времени, используются для передачи информации о статусе вредоносного ПО субъектам угрозы на этапе после заражения с помощью инструмента с открытым исходным кодом Interactsh .
Хотя Interactsh является легитимным инструментом с открытым исходным кодом, который обычно используется пентестерами, его связанный домен, oast.fun, также был замечен в операциях уровня APT в прошлом. Однако в этой операции с использованием приманки Palo Alto не было указано авторство.
В Trend Micro отмечают, что, хотя злоумышленники остаются неизвестными, операция, по-видимому, носит целенаправленный характер: для целевых объектов используются пользовательские URL-адреса и недавно зарегистрированные домены C2 для обхода черных списков.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было