Специалисты по кибербезопасности из Trend Micro выявили новую угрозу, нацеленную на пользователей Ближнего Востока. Злоумышленники распространяют вредоносное программное обеспечение (малварь), замаскированное под популярный VPN-инструмент GlobalProtect от компании Palo Alto Networks. Эта изощренная атака подчеркивает растущую сложность киберугроз и необходимость повышенной бдительности в цифровом пространстве.
Механизм атаки: обман и проникновение
Хотя точный вектор атаки пока не установлен, эксперты предполагают использование фишинговых техник для обмана жертв. Злоумышленники убеждают пользователей в том, что они устанавливают легитимное ПО GlobalProtect, широко применяемое организациями для обеспечения безопасного удаленного доступа к корпоративным ресурсам.
Процесс заражения начинается с исполняемого файла setup.exe, который разворачивает в системе основной компонент бэкдора — GlobalProtect.exe. После установки активируется «маячок», сигнализирующий атакующим о успешном внедрении малвари.
Сбор данных и коммуникация с управляющим сервером
Вредоносное ПО демонстрирует продвинутые возможности по сбору конфиденциальной информации. Оно извлекает следующие данные о зараженной системе:
- IP-адрес жертвы
- Информация об операционной системе
- Имя пользователя
- Имя компьютера
- Данные о времени сна системы
Собранная информация отправляется на управляющий сервер злоумышленников (94.131.108[.]78). Для защиты от обнаружения малварь использует AES-шифрование строк и пакетов данных при коммуникации с сервером.
Маскировка под легитимный сервис
Аналитики отмечают, что управляющий сервер использует недавно зарегистрированный URL-адрес, содержащий строку «sharjahconnect». Это явная попытка имитировать доступ к легитимному VPN-порталу в эмирате Шарджа (ОАЭ), что подчеркивает изощренность атаки и её нацеленность на пользователей Ближнего Востока.
Функциональность бэкдора и потенциальные угрозы
Установленный бэкдор предоставляет злоумышленникам широкие возможности для дальнейших вредоносных действий:
- Загрузка дополнительных файлов и вредоносных нагрузок
- Выполнение PowerShell-команд
- Передача информации на управляющий сервер с использованием открытого решения Interactsh
Эти возможности позволяют атакующим расширять свое присутствие в зараженной системе, похищать конфиденциальные данные и потенциально компрометировать всю корпоративную сеть.
Данная кибератака демонстрирует растущую изощренность злоумышленников и подчеркивает критическую важность комплексного подхода к кибербезопасности. Организациям и пользователям рекомендуется проявлять повышенную бдительность при установке ПО, особенно связанного с VPN-сервисами. Регулярное обновление систем безопасности, проведение аудитов и обучение сотрудников основам кибергигиены остаются ключевыми элементами защиты от подобных угроз.
