Cybersicherheitsexperten von Trend Micro haben eine besorgniserregende Malware-Kampagne aufgedeckt, die Unternehmen im Nahen Osten ins Visier nimmt. Die Angreifer tarnen ihre Schadsoftware als legitimes VPN-Tool „GlobalProtect“ von Palo Alto Networks, um arglose Nutzer zu täuschen und in Unternehmensnetzwerke einzudringen.
Raffinierte Täuschungstaktik zielt auf Fernzugriffslösungen ab
Die Cyberkriminellen nutzen die weit verbreitete Nutzung von VPN-Lösungen für den Fernzugriff aus, um ihre Malware zu verbreiten. Palo Alto Networks‘ GlobalProtect wird häufig von Organisationen eingesetzt, um Mitarbeitern, Auftragnehmern und Partnern sicheren Zugang zu internen Ressourcen zu gewähren. Diese Tatsache macht die getarnte Malware besonders gefährlich für Unternehmen.
Obwohl der initiale Infektionsvektor noch nicht eindeutig identifiziert wurde, vermuten die Forscher von Trend Micro, dass Phishing-Angriffe zum Einsatz kommen, um Opfer zur Installation der vermeintlichen VPN-Software zu verleiten.
Komplexer Infektionsprozess mit mehreren Komponenten
Der Angriff beginnt mit einer ausführbaren Datei namens „setup.exe“, die den Hauptbestandteil der Malware – „GlobalProtect.exe“ – auf dem infizierten System installiert. Anschließend wird ein „Beacon“ aktiviert, der die Angreifer über die erfolgreiche Infektion informiert.
Zusätzlich werden zwei Konfigurationsdateien (RTime.conf und ApProcessId.conf) auf das System geladen, die für den Diebstahl sensibler Informationen verwendet werden. Die Malware sammelt unter anderem:
- IP-Adresse des Opfers
- Betriebssysteminformationen
- Benutzername
- Computername
- Systemruhezustand-Daten
Diese gesammelten Daten werden an einen Command-and-Control-Server (C&C) unter der IP-Adresse 94.131.108[.]78 übermittelt.
Fortschrittliche Verschleierungstechniken erschweren Erkennung
Um die Entdeckung zu erschweren, setzt die Malware auf AES-Verschlüsselung für Zeichenketten und Datenpakete während der Kommunikation mit dem C&C-Server. Besonders auffällig ist die Verwendung eines neu registrierten URLs mit dem Begriff „sharjahconnect“ als C&C-Server. Dies soll offenbar den Zugriff auf ein legitimes VPN-Portal im Emirat Schardscha (VAE) imitieren.
Vielseitige Funktionen ermöglichen weitreichende Kontrolle
Die installierte Backdoor dient als Einfallstor für weitere Malware-Komponenten und ermöglicht die Ausführung von PowerShell-Befehlen. Für die Datenübertragung zum C&C-Server nutzen die Angreifer die Open-Source-Lösung Interactsh. Die Malware kann verschiedene Befehle vom C&C-Server empfangen und ausführen, was den Angreifern weitreichende Kontrolle über infizierte Systeme gibt.
Diese ausgeklügelte Malware-Kampagne unterstreicht die Notwendigkeit erhöhter Wachsamkeit im Bereich der Cybersicherheit, insbesondere bei der Nutzung von Fernzugriffslösungen. Unternehmen sollten ihre Mitarbeiter regelmäßig für Phishing-Gefahren sensibilisieren, Multi-Faktor-Authentifizierung einsetzen und sicherstellen, dass alle Sicherheitssysteme auf dem neuesten Stand sind. Nur durch eine ganzheitliche Cybersicherheitsstrategie können Organisationen sich effektiv vor solch raffinierten Bedrohungen schützen.