Kyberzločinci využívají falešný GlobalProtect k pronikání do firemních sítí
Zpět na blogKyberzločinci nasadili sofistikovanou kampaň, která se zaměřuje na organizace na Blízkém východě pomocí malwaru maskovaného jako legitimní nástroj GlobalProtect od společnosti Palo Alto Networks. Tento malware umožňuje útočníkům krást citlivá data a provádět vzdálené PowerShell příkazy, což jim dává možnost dále se infiltrovat do firemních sítí.
GlobalProtect je rozšířený bezpečnostní software, který zajišťuje zabezpečený přístup k VPN a podporuje vícefaktorovou autentizaci. Útočníci využili důvěryhodnosti tohoto nástroje jako návnady, což naznačuje, že cílí na vysoce postavené firmy a organizace, které spoléhají na robustní podnikový software pro zabezpečení svých interních systémů.
Podle výzkumníků z firmy Trend Micro začíná útok pravděpodobně phishingovým e-mailem, který obsahuje soubor „setup.exe“. Jakmile oběť tento soubor spustí, do systému se nainstaluje soubor „GlobalProtect.exe“ spolu s několika konfiguračními soubory. Na první pohled vše vypadá jako standardní instalace GlobalProtect, avšak ve skutečnosti se na pozadí načítá škodlivý software.
Malware se po spuštění ujistí, že není detekován v sandboxu, a poté začne sbírat informace o napadeném zařízení, které odesílá na příkazový a kontrolní server (C2). Aby útočníci snížili riziko odhalení, používají AES šifrování dat, která jsou odesílána na C2 server. Adresa C2 serveru byla navržena tak, aby vypadala jako legitimní VPN portál pro kanceláře ve Spojených arabských emirátech, což útočníkům pomáhá zamaskovat své aktivity.
Po infekci malware pravidelně komunikuje s útočníky prostřednictvím beaconů, které hlásí stav infekce. K tomu využívá open-source nástroj Interactsh, který je běžně používán v oblasti penetračních testů, ale byl také zneužit v minulých kampaních na úrovni APT, jako jsou operace APT28.
Mezi příkazy, které malware přijímá z C2 serveru, patří mimo jiné spuštění PowerShell skriptů, stahování a nahrávání souborů, nebo spuštění nových procesů. Tyto schopnosti umožňují útočníkům provádět širokou škálu aktivit, od krádeže citlivých informací až po další infiltrování systému.
Útočníci jsou ve svým operacích velice systematičtí a sofistikovaní a stále častěji legitimní firemní software jako zástěrku pro své aktivity. Ve světě dnešních pokročilých hrozeb už nejde jen o prevenci, ale také o schopnost rychle detekovat a reagovat na nová nebezpečí.
Zdroj: Bleeping Computer
Zdroj imaginárního obrázku: vygenerováno pomocí AI Midjourney
13. 9. 2024