Les auteurs de menaces ciblent les organisations du Moyen-Orient avec des logiciels malveillants déguisés en outil légitime Palo Alto GlobalProtect qui peuvent voler des données et exécuter des commandes PowerShell à distance pour infiltrer davantage les réseaux internes.

Palo Alto GlobalProtect est une solution de sécurité légitime proposée par Palo Alto Networks qui fournit un accès VPN sécurisé avec prise en charge de l’authentification multifacteur. Les organisations utilisent largement le produit pour s’assurer que les employés distants, les sous-traitants et les partenaires peuvent accéder en toute sécurité aux ressources du réseau privé.

L’utilisation de Palo Alto GlobalProtect comme appât montre que le ciblage des attaquants se concentre sur les entreprises de grande valeur utilisant des logiciels d’entreprise plutôt que sur des utilisateurs aléatoires.

Le logiciel VPN d’entreprise comme leurre
Les chercheurs de Trend Micro qui ont découvert cette campagne n’ont aucune idée de la manière dont le malware est livré, mais sur la base du leurre utilisé, ils pensent que l’attaque commence par un e-mail de phishing.

La victime exécute un fichier nommé « setup ».exe ‘sur leur système, qui déploie un fichier appelé’ GlobalProtect.exe ‘ avec les fichiers de configuration.

À ce stade, une fenêtre ressemblant à un processus d’installation GlobalProtect normal apparaît, mais le logiciel malveillant se charge tranquillement sur le système en arrière-plan.

Fausse fenêtre d’installation de GlobalProtect

Lors de l’exécution, il vérifie les signes d’exécution sur un bac à sable avant d’exécuter son code principal. Ensuite, il transmet des informations de profilage sur la machine piratée au serveur de commande et de contrôle (C2).

En tant que couche d’évasion supplémentaire, le malware utilise le cryptage AES sur ses chaînes et ses paquets de données à exfiltrer vers le C2.

L’adresse C2 vue par Trend Micro utilisait une URL nouvellement enregistrée contenant la chaîne « sharjahconnect », la faisant apparaître comme un portail de connexion VPN légitime pour les bureaux basés à Sharjah aux Émirats arabes Unis.

Compte tenu de la portée du ciblage de la campagne, ce choix aide les acteurs de la menace à se fondre dans les opérations normales et à réduire les signaux d’alarme qui pourraient éveiller les soupçons de la victime.

Des balises envoyées à intervalles périodiques sont utilisées pour communiquer l’état des logiciels malveillants aux acteurs de la menace dans la phase post-infection à l’aide de l’outil open source Interactsh.

Alors qu’Interactsh est un outil open source légitime couramment utilisé par les pentesters, son domaine connexe, oast.fun, a également été observé dans les opérations de niveau APT dans le passé, comme dans les campagnes APT28. Cependant, aucune attribution n’a été donnée dans cette opération utilisant le leurre de produit Palo Alto.

Les commandes reçues du serveur de commande et de contrôle sont:

  • heure de réinitialisation: interrompt les opérations malveillantes pendant une durée spécifiée.
  • pw: Exécute un script PowerShell et envoie le résultat au serveur de l’attaquant.
  • pr time: Lit ou écrit un temps d’attente dans un fichier.
  • pr create-process: Démarre un nouveau processus et renvoie la sortie.
  • pr dnld: Télécharge un fichier à partir d’une URL spécifiée.
  • violet: Télécharge un fichier sur un serveur distant.
  • type de commande non valide: Renvoie ce message si une commande non reconnue ou erronée est rencontrée.
Aperçu de l’attaque

Trend Micro note que, bien que les attaquants restent inconnus, l’opération semble très ciblée, utilisant des URL personnalisées pour les entités ciblées et des domaines C2 fraîchement enregistrés pour échapper aux listes de blocage.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *