ผู้โจมตีมุ่งเป้าไปที่องค์กรในตะวันออกกลาง โดยใช้มัลแวร์ที่ปลอมเป็น Palo Alto GlobalProtect ซึ่งสามารถขโมยข้อมูล และเรียกใช้คำสั่ง PowerShell จากระยะไกล เพื่อแทรกซึมเข้าไปภายในเครือข่ายขององค์กรได้
Palo Alto GlobalProtect เป็นโซลูชันของ Palo Alto Networks สำหรับการเข้าถึง VPN ที่ปลอดภัย พร้อมการรองรับการยืนยันตัวตนหลายขั้นตอน โดยองค์กรต่าง ๆ ใช้เครื่องมือนี้เพื่อให้แน่ใจว่าพนักงานที่ทำงานจากภายนอก และพนักงานจากบริษัท partners สามารถเข้าถึงเครือข่ายภายในได้อย่างปลอดภัย
การนำ Palo Alto GlobalProtect ปลอมมาใช้เป็นมัลแวร์ แสดงให้เห็นว่าผู้โจมตีมุ่งเน้นไปที่องค์กรขนาดใหญ่แทนที่จะเป็นผู้ใช้ทั่วไป
VPN Software ปลอมขององค์กรมาใช้เป็นมัลแวร์
นักวิจัยของ Trend Micro เป็นผู้ค้นพบแคมเปญนี้ แต่ยังไม่มีข้อมูลเชิงลึกเกี่ยวกับวิธีการที่ใช้ในการส่งมัลแวร์ แต่จากลักษณะพฤติกรรมที่ใช้ นักวิจัยเชื่อว่าการโจมตีเริ่มต้นจากอีเมลฟิชชิ่ง
โดยเมื่อเป้าหมายเรียกใช้ไฟล์ชื่อ 'setup.exe' บนระบบของตน มันจะทำการติดตั้งไฟล์ชื่อ 'GlobalProtect.exe' พร้อมกับไฟล์ configuration
ในขั้นตอนนี้ หน้าต่างที่คล้ายกับกระบวนการติดตั้ง GlobalProtect ทั่วไปจะปรากฏขึ้น แต่มัลแวร์จะทำงานอย่างเงียบ ๆ บนระบบในเบื้องหลัง
เมื่อดำเนินการเสร็จ มัลแวร์จะตรวจสอบว่ากำลังทำงานบน sandbox หรือไม่ ก่อนที่จะรันคำสั่งหลักของมัน จากนั้นจะส่งข้อมูลโปรไฟล์ของเครื่องที่ถูกเจาะเข้าไปยังเซิร์ฟเวอร์ควบคุม และสั่งการ (C2 Server) ของผู้โจมตี
เพื่อเพิ่มการหลบเลี่ยงการตรวจจับเพิ่มเติม มัลแวร์จะใช้การเข้ารหัส AES บนสตริง และแพ็กเก็ตข้อมูลที่จะถูกส่งออกไปยัง C2 Server
C2 address ที่ Trend Micro พบ ใช้ URL ที่ลงทะเบียนใหม่ซึ่งมีคำว่า "sharjahconnect" ทำให้ดูเหมือนเป็นพอร์ทัลการเชื่อมต่อ VPN ที่ถูกต้องสำหรับสำนักงานที่ตั้งอยู่ในชาร์จาห์ ในสหรัฐอาหรับเอมิเรตส์
เมื่อพิจารณาถึงขอบเขตการโจมตีของแคมเปญ การเลือกใช้งาน URL นี้ช่วยให้ผู้โจมตีสามารถกลมกลืนกับการดำเนินงานปกติ และลดการแจ้งเตือนที่อาจทำให้เหยื่อสงสัย
มีการใช้ Beacons agent ที่เชื่อมต่อไปยัง C2 Server เพื่อติดต่อกับผู้โจมตีหลังจากการโจมตีสำเร็จ โดยใช้เครื่องมือโอเพ่นซอร์สที่ชื่อว่า Interactsh
แม้ว่า Interactsh จะเป็นเครื่องมือโอเพ่นซอร์สที่ถูกต้องตามกฎหมาย ซึ่งมักใช้โดยนักทดสอบเจาะระบบ แต่โดเมนที่เกี่ยวข้อง oast.fun ก็เคยถูกพบในการปฏิบัติการของกลุ่ม APT ในอดีต เช่น แคมเปญของกลุ่ม APT28 อย่างไรก็ตามไม่มีการอ้างอิงถึงกลุ่มใดในปฏิบัติการที่ใช้ Palo Alto GlobalProtect ปลอมในครั้งนี้
คำสั่งที่ได้รับจากเซิร์ฟเวอร์ควบคุม และสั่งการมีดังนี้:
- time to reset: หยุดการทำงานของมัลแวร์เป็นระยะเวลาที่กำหนด
- pw: รันสคริปต์ PowerShell และส่งผลลัพธ์ไปยังเซิร์ฟเวอร์ของผู้โจมตี
- pr wtime: อ่าน หรือเขียน wait time เข้าสู่ไฟล์
- pr create-process: เริ่มกระบวนการใหม่ และส่งคืนผลลัพธ์
- pr dnld: ดาวน์โหลดไฟล์จาก URL ที่กำหนด
- pr upl: อัปโหลดไฟล์ไปยังเซิร์ฟเวอร์ภายนอก
- invalid command type: ส่งข้อความกลับไป หากพบคำสั่งที่ไม่ถูกต้อง หรือคำสั่งที่ไม่รู้จัก
Trend Micro ระบุว่า ถึงแม้จะยังไม่ทราบชื่อของกลุ่มผู้โจมตี แต่ปฏิบัติการนี้ดูเหมือนจะมีเป้าหมายชัดเจน โดยใช้ URL ที่กำหนดสำหรับเป้าหมาย และโดเมน C2 ที่เพิ่งลงทะเบียนใหม่เพื่อหลีกเลี่ยงการถูกบล็อก
ที่มา : Bleepingcomputer
You must be logged in to post a comment.