Cybersecurity-Forscher haben eine neue Kampagne enthüllt, die potenziell Benutzer im Nahen Osten durch Malware anspricht, die sich als Palo Alto Networks GlobalProtect Virtual Private Network (VPN)-Tool tarnt. „Die Malware kann Remote-PowerShell-Befehle ausführen, Dateien herunterladen und exfiltrieren, die Kommunikation verschlüsseln und Sandbox-Lösungen umgehen, was eine erhebliche Bedrohung für die angegriffenen Organisationen darstellt“, sagte Mohamed Fahmy, Forscher bei Trend Micro, in einem technischen Bericht. Die hochentwickelte Malware-Probe wurde bei der Verwendung eines zweistufigen Prozesses beobachtet und beinhaltet die Einrichtung von Verbindungen zu einer Command-and-Control (C2)-Infrastruktur, die vorgeblich ein VPN-Portal des Unternehmens ist, sodass die Bedrohungsakteure frei operieren können, ohne Alarme auszulösen.
Der anfängliche Intrusionsvektor für die Kampagne ist derzeit unbekannt, obwohl vermutet wird, dass Phishing-Techniken eingesetzt werden, um Benutzer dazu zu verleiten, zu glauben, dass sie den GlobalProtect-Agenten installieren. Die Aktivität wurde keinem bestimmten Bedrohungsakteur oder keiner bestimmten Gruppe zugeschrieben. Der Ausgangspunkt ist eine setup.exe-Datei, die die primäre Backdoor-Komponente namens GlobalProtect.exe bereitstellt, die nach der Installation einen Beaconing-Prozess startet, der die Betreiber über den Fortschritt informiert. Die ausführbare Datei der ersten Stufe ist auch dafür verantwortlich, zwei zusätzliche Konfigurationsdateien (RTime.conf und ApProcessId.conf) abzulegen, die verwendet werden, um Systeminformationen an einen C2-Server (94.131.108[.]78) zu exfiltrieren, einschließlich der IP-Adresse des Opfers, Informationen zum Betriebssystem, Benutzername, Rechnername und Sleep-Time-Sequenz. „Die Malware implementiert eine Ausweichtechnik, um die Verhaltensanalyse und Sandbox-Lösungen zu umgehen, indem sie den Prozess-Dateipfad und die spezifische Datei überprüft, bevor der Hauptcodeblock ausgeführt wird“, bemerkte Fahmy. Die Backdoor dient als Verbindungspunkt, um Dateien hochzuladen, Payloads der nächsten Stufe herunterzuladen und PowerShell-Befehle auszuführen. Das Beaconing zum C2-Server erfolgt mithilfe des Interactsh-Open-Source-Projekts.