Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Поддельный Palo Alto GlobalProtect заражает корпоративные системы

02/09/24

Хакеры используют вредоносное ПО, маскирующееся под инструмент Palo Alto GlobalProtect, которое может похищать данные и выполнять удаленные команды PowerShell для дальнейшего проникновения во внутренние сети. Жертвами атак стали организации на Ближнем Востоке.

Использование Palo Alto GlobalProtect в качестве приманки свидетельствует о том, что злоумышленники нацелены на корпоративные структуры, использующие ПО уровня предприятия, а не на случайных пользователей, пишет Securitylab.

Специалисты Trend Micro, которые обнаружили кампанию, предполагают, что атака начинается с фишингового письма, хотя точный способ доставки вредоносного ПО пока неизвестен. Жертва запускает файл с именем «setup.exe», который затем разворачивает другой файл «GlobalProtect.exe» вместе с конфигурационными файлами. В этот момент на экране появляется окно, имитирующее процесс установки GlobalProtect, но на фоне вредоносное ПО тихо загружается в систему.

5fziw03nxtg6ki8t26d2tu1uak3ddikm

После запуска вредоносное ПО проверяет, не работает ли оно в песочнице, прежде чем начать выполнение основного кода. Затем вирус передает информацию о скомпрометированном устройстве на C2-сервер. В качестве дополнительного уровня защиты от обнаружения вредоносное ПО использует шифрование AES для отправляемых строк и пакетов данных.

Примечательно то, что URL-адрес C2-сервера зарегистрирован недавно и содержит строку «sharjahconnect», чем он и похож на легитимный VPN-портал для офисов в Шардже, ОАЭ. Такой выбор URL помогает киберпреступникам замаскировать свои действия под законные операции и снижает вероятность того, что жертва заподозрит неладное.

Для связи с операторами после заражения вредоносное ПО периодически отправляет сигналы с помощью легитимного opensource-инструмента Interactsh. Хотя Interactsh часто используется пентестерами, его домен «oast.fun» также был замечен в кампаниях APT-групп. Следует отметить, что в данной операции никаких атрибуций установлено не было.

C2-сервер может отправлять различные команды на зараженное устройство, среди которых:

  • приостановка работы вредоносного ПО на заданное время;
  • выполнение PowerShell-скрипта и отправка результата на C2-сервер;
  • загрузка файла с указанного URL;
  • загрузка файла на удаленный сервер;

Исследователи Trend Micro отмечают, что хотя злоумышленники остаются неизвестными, операция выглядит крайне целенаправленной. Использование настраиваемых URL для конкретных целей и «свежих» доменов C2-сервера помогает хакерам обходить списки блокировок.

Темы:УгрозыTrend MicroPalo Alto Networksантивирусы
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

  • Можно ли обойтись без потокового антивируса в NGFW?
    Василий Севостьянов, начальник отдела технического сопровождения продаж ООО “Доктор Веб"
    NGFW помимо других модулей обработки трафика включают в себя и потоковый антивирус – технологию, спроектированную для эффективного обнаружения и блокирования вирусов и вредоносного программного обеспечения на уровне сетевого трафика
  • Защита конечных точек: начало любой ИБ-стратегии
    Татьяна Белева, менеджер по развитию бизнеса ИБ “Сиссофт”
    Защита конечных точек (Endpoint Security) подразумевает обеспечение безопасности ПК, смартфонов и планшетов, офисной техники и серверов, которые входят в ИТ-ландшафт компании. Являясь точками ввода/вывода данных, все они вызывают повышенный интерес со стороны злоумышленников. Давайте посмотрим, как обстоят дела с защитой конечных точек сегодня.
  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний
  • ИИ на службе преступников: чего ждать в ближайшем будущем
    Михаил Кондрашин, технический директор компании Trend Micro в России и СНГ
    Поговорим о будущем киберпреступного применения технологии искусственного интеллекта

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...