脅威行為者は、正規の Palo Alto GlobalProtect ツールに偽装したマルウェアで中東の組織を標的としており、データを盗んだり、リモートで PowerShell コマンドを実行したりして、内部ネットワークにさらに侵入することができます。
Palo Alto GlobalProtectは、パロアルトネットワークスが提供する正規のセキュリティソリューションで、多要素認証に対応したセキュアなVPNアクセスを提供します。組織は、リモート従業員、請負業者、およびパートナーがプライベート・ネットワーク・リソースに安全にアクセスできるようにするために、この製品を広く使用しています。
Palo Alto GlobalProtectをおとりとして使用することは、攻撃者が無作為のユーザーではなく、企業向けソフトウェアを使用する価値の高い企業体を標的としていることを示しています。
企業向けVPNソフトウェアをおびき寄せる
このキャンペーンを発見したトレンドマイクロの研究者は、マルウェアがどのように配信されるのかについては把握していませんが、使用されている誘い文句から、攻撃はフィッシングメールから始まると考えています。
被害者はシステム上で「setup.exe」という名前のファイルを実行し、設定ファイルとともに「GlobalProtect.exe」というファイルを展開する。
この段階で、通常のGlobalProtectのインストールプロセスに似たウィンドウが表示されますが、マルウェアはバックグラウンドで静かにシステムにロードされます。
実行されると、プライマリコードを実行する前に、サンドボックス上で実行されている兆候をチェックします。その後、侵入したマシンに関するプロファイリング情報をコマンド&コントロール(C2)サーバに送信します。
回避レイヤーの追加として、このマルウェアは文字列とデータパケットをAES暗号化してC2に流出させます。
トレンドマイクロが確認したC2アドレスは、「sharjahconnect」という文字列を含む新しく登録されたURLを使用しており、アラブ首長国連邦のシャルジャに拠点を置くオフィスの正規のVPN接続ポータルのように見せていました。
このキャンペーンの標的範囲を考慮すると、この選択は、脅威行為者が通常業務に紛れ込み、被害者の疑念を招きかねないレッドフラッグを減らすのに役立ちます。
Interactshオープンソースツールを使用し、感染後の段階でマルウェアのステータスを脅威行為者に伝えるため、定期的にビーコンを送信しています。
Interactshは、ペンテスターによって一般的に使用されている正規のオープンソースツールですが、その関連ドメインであるoast.funは、APT28キャンペーンのように、過去にAPTレベルの活動でも観測されています。しかし、Palo Alto製品のルアーを使用した今回の作戦では、アトリビューションは与えられていません。
コマンド&コントロールサーバーから受信したコマンドは次のとおりです:
- リセットする時間:指定された時間、マルウェアの操作を一時停止します。
- pw:PowerShellスクリプトを実行し、結果を攻撃者のサーバーに送信します。
- pr wtime:待機時間をファイルに読み書きします。
- pr create-process:新しいプロセスを開始し、出力を返します。
- pr dnld:指定されたURLからファイルをダウンロードします。
- pr upl: リモート・サーバーにファイルをアップロードします。
- invalid command type (無効なコマンド・タイプ):認識できないコマンドまたは誤ったコマンドに遭遇した場合に、このメッセージを返します。
トレンドマイクロは、攻撃者は不明のままであるものの、ブロックリストを回避するために、標的となるエンティティのカスタムURLと新しく登録されたC2ドメインを使用し、高度に標的化された操作のように見えると指摘しています。
Comments