Nieuwe malware vermomt zich als Palo Alto VPN gericht op gebruikers in het Midden-Oosten

Cybersecurityonderzoekers hebben een nieuwe campagne onthuld die mogelijk gebruikers in het Midden-Oosten aanvalt. De campagne vindt plaats via malware die zich voordoet als de VPN-tool (Virtual Private Network) van Palo Alto Networks GlobalProtect.

“De malware kan PowerShell-opdrachten op afstand uitvoeren, bestanden downloaden en exfiltreren, communicatie versleutelen en sandbox-oplossingen omzeilen. Dit vormt een aanzienlijke bedreiging voor organisaties die het doelwit zijn”, aldus Mohamed Fahmy, onderzoeker bij Trend Micro, in een technisch rapport.

Er is vastgesteld dat het geavanceerde malware-voorbeeld een proces in twee fasen gebruikt. Hierbij worden verbindingen opgezet met de command-and-control (C2)-infrastructuur die zich voordoet als een VPN-portaal van het bedrijf. Hierdoor kunnen kwaadwillenden vrijelijk opereren zonder dat er alarmen afgaan.

De initiële intrusievector voor de campagne is momenteel onbekend, hoewel het vermoeden bestaat dat het gebruik van phishingtechnieken inhoudt om gebruikers te misleiden door ze te laten denken dat ze de GlobalProtect-agent installeren. De activiteit is niet toegeschreven aan een specifieke bedreigingsactor of groep.

Het startpunt is een setup.exe-bestand dat het primaire backdoor-component GlobalProtect.exe implementeert. Zodra dit is geïnstalleerd, start het een bakenproces dat de operators op de hoogte stelt van de voortgang.

Het uitvoerbare bestand in de eerste fase is ook verantwoordelijk voor het plaatsen van twee extra configuratiebestanden (RTime.conf en ApProcessId.conf) die worden gebruikt om systeemgegevens te exfiltreren naar een C2-server (94.131.108(.)78), inclusief het IP-adres van het slachtoffer, informatie over het besturingssysteem, gebruikersnaam, machinenaam en slaaptijdsequentie.

“De malware implementeert een ontwijkingstechniek om gedragsanalyse en sandbox-oplossingen te omzeilen door het pad van het procesbestand en het specifieke bestand te controleren voordat het hoofdcodeblok wordt uitgevoerd”, aldus Fahmy.

De backdoor fungeert als een kanaal om bestanden te uploaden, next-stage payloads te downloaden en PowerShell-opdrachten uit te voeren. De beaconing naar de C2-server vindt plaats via het open-sourceproject Interactsh.

“De malware richt zich op een nieuw geregistreerde URL, ‘sharjahconnect’ (waarschijnlijk verwijzend naar het emiraat Sharjah in de VAE), die is ontworpen om te lijken op een legitiem VPN-portaal voor een bedrijf gevestigd in de VAE”, aldus Fahmy.

“Deze tactiek is ontworpen om de schadelijke activiteiten van de malware te laten opgaan in het verwachte regionale netwerkverkeer en zo de ontwijkingseigenschappen ervan te verbeteren.”

Thijs Van der Does