Hackers στοχεύουν οργανισμούς της Μέσης Ανατολής με malware, το οποίο είναι μεταμφιεσμένο στο νόμιμο εργαλείο Palo Alto GlobalProtect. Στόχος είναι η κλοπή δεδομένων και η εκτέλεση απομακρυσμένων εντολών PowerShell για περαιτέρω πρόσβαση στα εσωτερικά δίκτυα.
Το Palo Alto GlobalProtect είναι μια νόμιμη λύση ασφαλείας από την Palo Alto Networks που παρέχει ασφαλή πρόσβαση VPN και χρησιμοποιείται από πολλούς οργανισμούς. Διασφαλίζει ότι απομακρυσμένοι υπάλληλοι, εργολάβοι και συνεργάτες μπορούν να έχουν ασφαλή πρόσβαση σε πόρους ιδιωτικού δικτύου.
Η κατάχρησή του για τη διανομή malware δείχνει ότι οι επιτιθέμενοι στοχεύουν εταιρείες και όχι τυχαίους χρήστες.
Δείτε επίσης: Οι Ιρανοί hackers APT33 στοχεύουν κυβερνήσεις με το Tickler malware
Palo Alto GlobalProtect: Εταιρικό λογισμικό VPN ως δέλεαρ
Οι ερευνητές της Trend Micro ανακάλυψαν αυτήν την καμπάνια. Προς το παρόν, δεν γνωρίζουν πώς παραδίδεται το κακόβουλο λογισμικό. Λαμβάνοντας υπόψη το δόλωμα που χρησιμοποιείται, η επίθεση μπορεί να ξεκινά με ένα μήνυμα ηλεκτρονικού “ψαρέματος” (phishing).
Το θύμα εκτελεί ένα αρχείο με το όνομα “setup.exe“, το οποίο αναπτύσσει ένα αρχείο που ονομάζεται “GlobalProtect.exe” μαζί με αρχεία διαμόρφωσης.
Σε αυτό το στάδιο, εμφανίζεται ένα παράθυρο που μοιάζει με μια κανονική διαδικασία εγκατάστασης του Palo Alto GlobalProtect, αλλά στην πραγματικότητα φορτώνεται στο σύστημα το malware.
Οι ερευνητές παρατήρησαν ότι το malware ελέγχει αν εκτελείται σε sandbox πριν εκτελέσει τον κύριο κώδικα του. Στη συνέχεια, μεταδίδει πληροφορίες προφίλ σχετικά με το παραβιασμένο μηχάνημα στον διακομιστή εντολών και ελέγχου (C2).
Επίσης, το malware που υποδύεται το Palo Alto GlobalProtect χρησιμοποιεί κρυπτογράφηση AES στις συμβολοσειρές και τα πακέτα δεδομένων του για να διεξαχθεί στο C2.
Δείτε επίσης: sedexp: Ένα Linux malware που έμεινε κρυφό για δύο χρόνια
Η διεύθυνση C2 χρησιμοποίησε μια πρόσφατα καταχωρημένη διεύθυνση URL που περιέχει τη συμβολοσειρά “sharjahconnect“. Έτσι, φαίνεται σαν νόμιμη πύλη σύνδεσης VPN για γραφεία στο Sharjah στα Ηνωμένα Αραβικά Εμιράτα.
Οι επιτιθέμενοι προσπαθούν να συνδυάσουν τις κακόβουλες δραστηριότητές τους με κανονικές λειτουργίες για να μην κινήσουν υποψίες στα θύματα.
Τα Beacons που αποστέλλονται, κατά διαστήματα, χρησιμοποιούνται για να ενημερώσουν τους επιτιθέμενους για την κατάσταση του κακόβουλου λογισμικού, στη φάση μετά τη μόλυνση, χρησιμοποιώντας το εργαλείο ανοιχτού κώδικα Interactsh.
Οι εντολές που λαμβάνονται από τον διακομιστή εντολών και ελέγχου είναι:
time to reset: Σταματά λειτουργίες κακόβουλου λογισμικού για μια καθορισμένη διάρκεια.
pw: Εκτελεί PowerShell script και στέλνει το αποτέλεσμα στον διακομιστή του εισβολέα.
pr wtime: Διαβάζει ή γράφει ένα χρόνο αναμονής σε ένα αρχείο.
pr create-process: Ξεκινά μια νέα διαδικασία και επιστρέφει το αποτέλεσμα.
pr dnld: Πραγματοποιεί λήψη ενός αρχείου από μια καθορισμένη διεύθυνση URL.
pr upl: Μεταφορτώνει ένα αρχείο σε έναν απομακρυσμένο διακομιστή.
invalid command type: Επιστρέφει αυτό το μήνυμα εάν εμφανιστεί μια μη αναγνωρισμένη ή λανθασμένη εντολή.
Η Trend Micro δεν γνωρίζει ποιος βρίσκεται πίσω από αυτή την εκστρατεία διανομής malware (που υποδύεται το Palo Alto GlobalProtect), αλλά φαίνεται εξαιρετικά στοχευμένη εκστρατεία.
Δείτε επίσης: Cthulhu Stealer: Νέο info-stealer malware στοχεύει MacOS
Οι οργανισμοί καλούνται να παραμείνουν σε επαγρύπνηση, εφαρμόζοντας ισχυρά μέτρα κυβερνοασφάλειας, όπως τακτικές ενημερώσεις λογισμικού, εκπαίδευση εργαζομένων σχετικά με τους κινδύνους phishing και ολοκληρωμένη προστασία τελικού σημείου, για να προστατεύονται από αυτές τις περίπλοκες απειλές. Επιπλέον, η παρακολούθηση της δραστηριότητας του δικτύου για ασυνήθιστη συμπεριφορά μπορεί να βοηθήσει στον έγκαιρο εντοπισμό πιθανών παραβιάσεων, μετριάζοντας έτσι τους κινδύνους που σχετίζονται με τέτοιες επιθέσεις κακόβουλου λογισμικού.
Τέλος, είναι σημαντικό για τους οργανισμούς να διαθέτουν ένα ολοκληρωμένο σχέδιο αντιμετώπισης συμβάντων. Σε περίπτωση επιτυχούς επίθεσης, η κατοχή ενός καλά καθορισμένου και δοκιμασμένου σχεδίου απόκρισης μπορεί να βοηθήσει στον περιορισμό της ζημιάς και στην ελαχιστοποίηση των επιπτώσεων στις λειτουργίες του οργανισμού. Αυτό περιλαμβάνει την ύπαρξη εφεδρικών συστημάτων για την αποκατάσταση κρίσιμων δεδομένων σε περίπτωση απώλειας ή κλοπής.
Πηγή: www.bleepingcomputer.com
