Експерти з кібербезпеки компанії Trend Micro виявили нову серйозну загрозу для користувачів на Близькому Сході. Зловмисники розповсюджують шкідливе програмне забезпечення, замасковане під популярний VPN-інструмент GlobalProtect від Palo Alto Networks. Ця кібератака становить значну небезпеку для корпоративних мереж та конфіденційних даних.
Механізм атаки та цільова аудиторія
Хоча точний вектор початкової атаки залишається невідомим, аналітики припускають використання фішингових методів. Зловмисники ймовірно обманюють жертв, переконуючи їх у тому, що вони встановлюють легітимний GlobalProtect. Цільовою аудиторією атаки вважаються великі організації, які використовують цей VPN-продукт для забезпечення безпечного віддаленого доступу співробітників, підрядників та партнерів до ресурсів приватних мереж.
Технічні деталі шкідливого ПЗ
Процес зараження починається з виконуваного файлу setup.exe, який розгортає в системі основний компонент бекдору – GlobalProtect.exe. Після цього запускається “маяк”, що сповіщає зловмисників про активність малварі. Додатково встановлюються два конфігураційні файли (RTime.conf та ApProcessId.conf), які використовуються для збору системних даних жертви.
Збір та передача даних
Шкідливе ПЗ збирає наступну інформацію:
- IP-адреса жертви
- Дані про операційну систему
- Ім’я користувача
- Ім’я комп’ютера
- Інформація про режим сну системи
Зібрані дані передаються на командно-контрольний сервер зловмисників (94.131.108[.]78). Для додаткового захисту від виявлення малварь використовує AES-шифрування рядків та пакетів даних під час комунікації з C&C-сервером.
Маскування під легітимний сервіс
Аналітики виявили, що в якості командно-контрольного сервера використовувався нещодавно зареєстрований URL-адрес, що містить рядок “sharjahconnect”. Це очевидна спроба імітувати доступ до легітимного VPN-порталу в еміраті Шарджа (ОАЕ), що додатково ускладнює виявлення зловмисної активності.
Функціональність бекдору
Встановлений бекдор виконує наступні функції:
- Завантаження додаткових файлів та шкідливих навантажень
- Виконання PowerShell-команд
- Передача інформації на C&C-сервер за допомогою відкритого рішення Interactsh
Ця кібератака демонструє зростаючу витонченість зловмисників та підкреслює важливість постійної пильності в питаннях кібербезпеки. Організаціям рекомендується регулярно оновлювати системи захисту, проводити навчання співробітників з розпізнавання фішингових атак та використовувати багатофакторну автентифікацію для захисту корпоративних мереж. Користувачам слід бути особливо обережними при встановленні програмного забезпечення, навіть якщо воно здається легітимним, та завжди перевіряти джерело завантаження.