吳明宜趨勢科技發現一起惡意程式冒充 Palo Alto Networks GlobalProtect VPN 工具的手法,向企業發動精準攻擊。
這起攻擊是駭客傳送一個冒充 Palo Alto Networks GlobalProtect VPN 安裝檔的惡意檔案 (setup.exe),誘騙企業用戶-特別是中東企業。一旦用戶安裝並執行,即會在 Palo Alto Networks 相關資料夾安裝配置檔 RTime.conf 及 Approcessld.conf 檔。此外它還會將用戶導向看似 Palo Alto NetworksVPN 入口網站的網頁。該網頁實則位於阿拉伯聯合大公國的 C&C 伺服器,協助入侵受害企業網路及維續長期滲透受害者網路,並且摻雜入區域網網路流量。
這起攻擊最值得注意的一點是用了 Interactsh 專案,它是滲透測試的常用工具,用於 beaconing 。藉由 Interactsh,惡意程式在不同感染階段中向惡意網域發送 DNS 呼叫,目的在蒐集機器資訊,或是執行來自 C&C 伺服器的指令。
這方法讓攻擊者得以追蹤惡意程式在不同感染階段的行蹤,並依此下達指令,確保入侵成功。
這個惡意程式以 C#撰寫而成,能執行遠端 PowerShell 指令,下載並執行其他程式,並將特定檔案由受害者電腦外傳。其指令架構能力強大,可執行多種任務,包括聽從指令執行 PowerShell Script 、管理一整個行程並竊取檔案回傳遠端伺服器、以 AES 演算法加密資料。
這些能力集結起來,使這隻程式成為強大的間諜工具,可對特定組織造成重大危害。它還具備高明躲避偵測的能力,能繞過行為分析工具和沙箱環境。它能檢查行程路徑及檔案,再執行程式碼,藉此躲避安全工具的分析。它還使用新註冊的網域作為 C&C 伺服器根據地,避免安全黑名單的封鎖、以及被研究人員追查到駭客身份。
這波攻擊主要針對中東企業,但其他地區亦不可大意,研究人員呼籲企業強化防禦,包括導入端點防護方案、定期更新安全協定,同時強化員工教育及安全警覺。