Хакеры маскируются под Palo Alto Global Protect для внедрения бэкдорав системы жертв

Злоумышленники атакуют организации с помощью вредоносного ПО, замаскированного под легитимный инструмент Palo Alto Global Protect. Этот зловред может красть данные и выполнять удаленные команды PowerShell для дальнейшего проникновения во внутренние сети.
Хакеры маскируются под Palo Alto Global Protect для внедрения бэкдорав системы жертв

Хакеры маскируются под Palo Alto GlobalProtect для внедрения бэкдора в системы жертв. Фото: СС0

Palo Alto GlobalProtect — это законное решение безопасности, предлагаемое Palo Alto Networks, которое обеспечивает безопасный доступ к VPN с поддержкой многофакторной аутентификации. Организации широко используют этот продукт, чтобы гарантировать, что удаленные сотрудники, подрядчики и партнеры могут безопасно получать доступ к ресурсам частной сети.

Использование Palo Alto GlobalProtect в качестве приманки показывает, что злоумышленники нацелены на крупные корпоративные организации, а не на случайных пользователей.

Исследователи из Trend Micro, обнаружившие эту кампанию, не имеют представления о том, как распространяется вредоносное ПО, но, основываясь на используемой приманке, полагают, что атака начинается с фишингового письма.

Жертва запускает в своей системе файл с именем «setup.exe», который развертывает файл с именем «GlobalProtect.exe» вместе с файлами конфигурации.

На этом этапе появляется окно, напоминающее обычный процесс установки GlobalProtect, но вредоносная программа незаметно загружается в систему в фоновом режиме.

При выполнении она проверяет наличие признаков работы в песочнице перед выполнением своего основного кода. Затем зловред передает информацию о профилировании взломанной машины на сервер управления и контроля (C2).

В качестве дополнительного уровня обхода безопасности вредоносная программа использует шифрование AES для своих строк и пакетов данных, которые затем передаются на C2.

Адрес C2, обнаруженный Trend Micro, использовал недавно зарегистрированный URL-адрес, содержащий строку «sharjahconnect», что делало его похожим на легитимный портал VPN-подключения для офисов, расположенных в Шардже, Объединенные Арабские Эмираты.

Учитывая масштабы кампании, этот выбор помогает злоумышленникам вписаться в обычные операции и уменьшить количество тревожных сигналов, которые могут вызвать подозрения у жертвы.

Маяки, отправляемые через определенные промежутки времени, используются для передачи информации о статусе вредоносного ПО субъектам угрозы на этапе после заражения с помощью инструмента с открытым исходным кодом Interactsh .

Хотя Interactsh является легитимным инструментом с открытым исходным кодом, который обычно используется пентестерами, его связанный домен, oast.fun, также был замечен в операциях уровня APT в прошлом. Однако в этой операции с использованием приманки Palo Alto не было указано авторство.

В Trend Micro отмечают, что, хотя злоумышленники остаются неизвестными, операция, по-видимому, носит целенаправленный характер: для целевых объектов используются пользовательские URL-адреса и недавно зарегистрированные домены C2 для обхода черных списков.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия. 

Статьи по теме

Больше интересного

Актуальное

Похожий на шпиона NSO Group зловред используется хакерами для атак на пользователей мобильных устройств
Эксперты предупреждают о PoC к уязвимости критической степени опасности ОС Windows
Google добавит новые инструменты для редактирования видео в свое приложение Photos
Ещё…