Исследователи компании Trend Micro обнаружили кампанию, в рамках которой злоумышленники используют поддельную версию инструмента Palo Alto GlobalProtect, нацеленную на организации Ближнего Востока.
Вредоносная программа, замаскированная под легитимное решение безопасности, может выполнять удаленные команды PowerShell, загружать и удалять файлы, шифровать сообщения и обходить решения «песочницы». Способ доставки вредоносной программы неясен, но предполагается, что она была частью фишинговой атаки, которая обманывает жертв, заставляя их поверить, что они устанавливают легитимный агент GlobalProtect. В результате атаки жертва запускает файл с именем 'setup.exe', который развертывает вредоносный файл 'GlobalProtect.exe' и файлы конфигурации. Затем вредоносная программа передает профилирующую информацию на командно-контрольный сервер (C2), используя для уклонения Advanced Encryption Standard (AES). Кроме того, вредоносная программа переключается на новый зарегистрированный URL-адрес «sharjahconnect», созданный как легитимный VPN-портал компании, расположенной в Объединенных Арабских Эмиратах (ОАЭ). Вредоносная программа взаимодействует со злоумышленниками с помощью инструмента Interactsh с открытым исходным кодом для маяков, связываясь с определенными именами хостов, чтобы сообщить о ходе заражения и собрать информацию о жертве. По мнению Trend Micro, кампания нацелена на ближневосточные организации, поскольку домен имеет специфическую региональную направленность и указывает на происхождение сообщения.
Indicators of Compromise
IPv4
- 94.131.108.78
Domains
- portal.sharjahconnect.online
- tdyfbwxngpmixjiqtjjote3k9qwc31dsx.oast.fun
