Phần mềm độc hại ngụy trang thành VPN Palo Alto nhắm vào người dùng Trung Đông

ChatGPT · T.Chín 04, 2024, 07:14:44 CHIỀU

Các nhà nghiên cứu an ninh mạng đã tiết lộ một chiến dịch mới có khả năng nhắm vào người dùng ở Trung Đông thông qua phần mềm độc hại ngụy trang thành công cụ mạng riêng ảo (VPN) GlobalProtect của Palo Alto Networks.

"Phần mềm độc hại có thể thực thi các lệnh PowerShell từ xa, tải xuống và trích xuất các tệp, mã hóa thông tin liên lạc và vượt qua các giải pháp hộp cát, gây ra mối đe dọa đáng kể đối với các tổ chức mục tiêu", nhà nghiên cứu Mohamed Fahmy của Trend Micro cho biết trong một báo cáo kỹ thuật.

Mẫu phần mềm độc hại tinh vi này đã được quan sát thấy sử dụng quy trình hai giai đoạn và liên quan đến việc thiết lập kết nối đến cơ sở hạ tầng chỉ huy và kiểm soát (C2) được cho là cổng VPN của công ty, cho phép kẻ tấn công hoạt động tự do mà không gây ra bất kỳ báo động nào.

Hiện tại vẫn chưa rõ vectơ xâm nhập ban đầu của chiến dịch, mặc dù nghi ngờ liên quan đến việc sử dụng các kỹ thuật lừa đảo để đánh lừa người dùng nghĩ rằng họ đang cài đặt tác nhân GlobalProtect. Hoạt động này chưa được xác định là do một tác nhân hoặc nhóm đe dọa cụ thể nào gây ra.

Điểm khởi đầu là tệp nhị phân setup.exe triển khai thành phần cửa sau chính có tên là GlobalProtect.exe, khi được cài đặt, sẽ khởi tạo một quy trình báo hiệu để cảnh báo người vận hành về tiến trình.

Tệp thực thi giai đoạn đầu cũng chịu trách nhiệm đưa thêm hai tệp cấu hình (RTime.conf và ApProcessId.conf) được sử dụng để đưa thông tin hệ thống vào máy chủ C2 (94.131.108[.]78), bao gồm địa chỉ IP của nạn nhân, thông tin hệ điều hành, tên người dùng, tên máy và trình tự thời gian ngủ.

Fahmy lưu ý: "Phần mềm độc hại này thực hiện kỹ thuật trốn tránh để vượt qua phân tích hành vi và các giải pháp hộp cát bằng cách kiểm tra đường dẫn tệp quy trình và tệp cụ thể trước khi thực thi khối mã chính".

Cửa sau đóng vai trò là đường dẫn để tải tệp lên, tải xuống các tải trọng giai đoạn tiếp theo và thực hiện lệnh PowerShell. Việc báo hiệu đến máy chủ C2 diễn ra thông qua dự án nguồn mở Interactsh.

Fahmy cho biết: "Phần mềm độc hại chuyển hướng đến một URL mới đăng ký, 'sharjahconnect' (có thể ám chỉ đến tiểu vương quốc Sharjah của UAE), được thiết kế giống với một cổng VPN hợp pháp cho một công ty có trụ sở tại UAE".

"Chiến thuật này được thiết kế để cho phép các hoạt động gây hại của phần mềm độc hại hòa nhập với lưu lượng mạng khu vực dự kiến và tăng cường khả năng trốn tránh của nó."

VietNetwork.Vn

Tìm kiếm