Tehdit aktörleri, iç ağlara daha fazla sızmak için verileri çalabilen ve uzaktan PowerShell komutlarını yürütebilen meşru Palo Alto GlobalProtect aracı olarak gizlenmiş kötü amaçlı yazılımları hedefliyor.
Palo Alto GlobalProtect, Palo Alto Networks tarafından sunulan ve çok faktörlü kimlik doğrulama desteği ile güvenli VPN erişimi sağlayan meşru bir güvenlik çözümüdür. Kuruluşlar, uzak çalışanların, yüklenicilerin ve ortakların özel ağ kaynaklarına güvenli bir şekilde erişebilmelerini sağlamak için ürünü geniş çapta kullanırlar.
Palo Alto GlobalProtect'i Bait olarak kullanmak, saldırganların hedeflemesinin rastgele kullanıcılar yerine kurumsal yazılım kullanarak yüksek değerli kurumsal kuruluşlara odaklandığını gösterir.
Trend Micro'daki bu kampanyayı keşfeden araştırmacıların, kötü amaçlı yazılımın nasıl teslim edildiğine dair hiçbir fikirleri yoktur, ancak kullanılan cazibeye dayanarak, saldırının kimlik avı e -postasıyla başladığına inanıyorlar.
Mağdur, sistemlerinde 'GlobalProtect.exe' adlı bir dosyayı yapılandırma dosyalarıyla birlikte dağıtan 'Setup.exe' adlı bir dosya yürütür.
Bu aşamada, normal bir GlobalProtect kurulum işlemine benzeyen bir pencere görünür, ancak kötü amaçlı yazılım sessizce arka planda yüklenir.
Yürütme üzerine, birincil kodunu yürütmeden önce bir kum havuzunda koşma belirtilerini kontrol eder. Ardından, ihlal edilen makine hakkında profil oluşturma bilgilerini Komut ve Kontrol (C2) sunucusuna iletir.
Ek bir kaçırma katmanı olarak, kötü amaçlı yazılım, C2'ye eklenmesi için dizelerinde AES şifrelemesini ve veri paketlerini kullanır.
Trend Micro tarafından görülen C2 adresi, "Sharjahconnect" dizesini içeren yeni kayıtlı bir URL kullandı, bu da Birleşik Arap Emirlikleri'ndeki Sharjah merkezli ofisler için meşru bir VPN bağlantı portalı gibi görünmesini sağladı.
Kampanyanın hedefleme kapsamı göz önüne alındığında, bu seçim tehdit aktörlerinin normal operasyonlarla harmanlanmasına ve kurbanın şüphesini artırabilecek kırmızı bayrakları azaltmasına yardımcı olur.
Periyodik aralıklarla gönderilen işaretler, enfeksiyon sonrası aşamadaki tehdit aktörleriyle kötü amaçlı yazılım durumunu etkileşim sonrası açık kaynaklı araç kullanılarak iletmek için kullanılır.
Interactsh, pentesters tarafından yaygın olarak kullanılan meşru bir açık kaynaklı araç olsa da, ilgili alanı Oast.fun, APT28 kampanyalarında olduğu gibi geçmişte apt düzeyli işlemlerde de gözlenmiştir. Bununla birlikte, bu işlemde Palo Alto ürün cazibesi kullanılarak herhangi bir atıf verilmemiştir.
Komut ve Kontrol Sunucusundan alınan komutlar şunlardır:
Trend Micro, saldırganlar bilinmemekle birlikte, operasyonun, hedeflenen varlıklar için özel URL'ler ve blok listelerden kaçmak için taze kayıtlı C2 alanlarını kullanarak yüksek hedefli göründüğünü belirtiyor.
Github Yorumları Şifre Yatmak İçin İstismar edildi Kötü Yazılımları Düzeltmeler olarak Maskelenmiş
Yeni Voldemort kötü amaçlı yazılım, çalıntı verileri depolamak için Google sayfalarını kötüye kullanıyor
Gizli 'Sedexp' Linux kötü amaçlı yazılımdan kaçınmış tespit iki yıldır
Bilgisayar korsanları, yeni kötü amaçlı yazılımlarla arka kapı Windows sistemlerine PHP istismarını kullanır
Azure Alanları ve Google, dezenformasyon ve kötü amaçlı yazılım yaymak için istismar edildi
Kaynak: Bleeping Computer