Обнаружен сложный образец вредоносного ПО, которое маскируется под легитимный инструмент Palo Alto GlobalProtect и представляет угрозу для пользователей на Ближнем Востоке. Вредоносная программа использует двухэтапную процедуру заражения и развитую инфраструктуру C&C. Она заражает жертв через файл setup.exe и использует проект Interactsh для маяков, чтобы перехватывать информацию о жертве.
GlobalShadow
Вредоносная программа имеет широкий спектр возможностей, включая выполнение удаленных команд PowerShell, загрузку и передачу файлов, шифрование сообщений и обход решений "песочницы". Она создает угрозу для целевых организаций, способную нанести значительный ущерб.
Цепочка заражения начинается с файла setup.exe, который развертывает компоненты вредоносной программы и конфигурационные файлы. После этого запускается механизм маячков, который связывается со специальными хостами для передачи информации о ходе заражения.
Вредоносная программа реализует технику обхода решений "песочницы" и собирает информацию о жертве, такую как IP-адрес, операционная система, имя пользователя и машины. Она также использует шифрование для обеспечения безопасности передаваемых данных.
Indicators of Compromise
IPv4
- 94.131.108.78
Domains
- portal.sharjahconnect.online
- step1-{dsktoProcessId}.tdyfbwxngpmixjiqtjjote3k9qwc31dsx.oast.fun
- step2-{dsktoProcessId}.tdyfbwxngpmixjiqtjjote3k9qwc31dsx.oast.fun
- step3-{dsktoProcessId}.tdyfbwxngpmixjiqtjjote3k9qwc31dsx.oast.fun
- step4-{dsktoProcessId}.tdyfbwxngpmixjiqtjjote3k9qwc31dsx.oast.fun
- step5-{dsktoProcessId}.tdyfbwxngpmixjiqtjjote3k9qwc31dsx.oast.fun
- step6-{dsktoProcessId}.tdyfbwxngpmixjiqtjjote3k9qwc31dsx.oast.fun
- tdyfbwxngpmixjiqtjjote3k9qwc31dsx.oast.fun
URLs
- http://94.131.108.78:7118/B/desktop/
- http://94.131.108.78:7118/B/hi/
SHA1
- 72cdd3856a3ffd530db50e0f48e71f089858e44f
- 79b38c4be5ac888e38ec5f21ac3710f3d0936a72
