Malware ukryty pod legalnym narzędziem VPN Palo Alto GlobalProtect atakuje organizacje

Informacje o malwarze

Oprogramowanie wykorzystuje projekt Interactsh do sygnalizacji i komunikacji z serwerem C&C, co pozwala na skuteczne omijanie tradycyjnych rozwiązań zabezpieczających, takich jak sandboxy. Dzięki tej technice atakujący mogą wykonywać zdalne polecenia PowerShell, pobierać i eksfiltrować dane, a także przeprowadzać dalsze ataki na wewnętrzną infrastrukturę organizacji. Całość operacji wskazuje na zaawansowane przygotowanie oraz dostęp do specjalistycznych narzędzi, co sugeruje działania wysoce zorganizowanych grup cyberprzestępczych lub aktorów państwowych.

Zdolność złośliwego oprogramowania do utrzymywania stałego dostępu poprzez ukryty portal VPN oraz jego potencjalne destrukcyjne skutki czynią je istotnym zagrożeniem dla cyberbezpieczeństwa.

Jak rozpoczyna się infekcja?

Malware, prawdopodobnie dostarczony za pośrednictwem ataku phishingowego, rozpoczyna swoją działalność od uruchomienia pliku „setup.exe”, który instaluje „GlobalProtect.exe” – główny komponent złośliwego oprogramowania – oraz pliki konfiguracyjne „RTime.conf” i „ApProcessId.conf”. Pliki te są umieszczane w katalogu „C:\Users\(nazwa użytkownika)\AppData\Local\Programs\PaloAlto\”.

Po instalacji „GlobalProtect.exe” inicjuje połączenie beaconingowe z serwerem zdalnym, przekazując informacje o postępie infekcji w sześciu etapach. W trakcie tego procesu używane są nazwy hostów w formacie „step[1-6]-[dsktoProcessId]tdyfbwxngpmixjiqtjjote3k9qwc31dsx.oast[.]fun”.

Malware stosuje zaawansowane techniki unikania detekcji przez piaskownicę, w tym analizę ścieżki pliku procesu i określonych plików przed zainicjowaniem głównego segmentu kodu. Dzięki temu potrafi wykrywać, czy działa w kontrolowanym środowisku, i odpowiednio modyfikować swoje zachowanie, co znacząco utrudnia jego wykrycie i analizę.

Oprogramowanie dodatkowo monitoruje aktywność systemową, w tym dostępność procesów analitycznych oraz specyficznych wskaźników środowisk wirtualnych, co pozwala mu na unikanie automatycznych systemów wykrywania, takich jak oprogramowania antywirusowe i narzędzia do analizy behawioralnej. To wszystko sprawia, że jest szczególnie niebezpieczne, skutecznie omijając zaawansowane mechanizmy ochronne.

Złośliwe oprogramowanie gromadzi szczegółowe informacje systemowe z zainfekowanego komputera, w tym adres IP, wersję systemu operacyjnego, nazwę użytkownika, nazwę komputera oraz sekwencję czasu uśpienia, którą odczytuje z pliku RTime.conf.

Dodatkowo malware pobiera unikalne identyfikatory DesktoProcessId oraz klucz szyfrowania z pliku ApProcessId.conf. Klucz ten służy do zabezpieczania komunikacji z serwerem Command and Control (C&C), natomiast DesktoProcessId jest używany jako unikalny identyfikator w sygnalizacyjnym adresie URL, co pozwala na precyzyjne śledzenie i zarządzanie zainfekowanymi urządzeniami przez cyberprzestępców.

Oprogramowanie stosuje zaawansowaną technikę szyfrowania ciągów znaków za pomocą algorytmu AES w trybie ECB. Wykorzystuje dwa ciągi danych: jeden jako tekst do zaszyfrowania, a drugi jako klucz szyfrujący. Po zaszyfrowaniu przy użyciu AES, wynikowy tekst szyfrowany jest kodowany w formacie Base64, co dodatkowo utrudnia jego analizę przez narzędzia do wykrywania zagrożeń. W przypadku wystąpienia błędów w procesie szyfrowania, oryginalny tekst wejściowy jest zwracany bez zmian, co zapewnia niezawodność operacji.

Dzięki tym technikom malware nie tylko skutecznie ukrywa swoją obecność, ale również utrudnia analizę ruchu sieciowego i operacji systemowych, co czyni je bardziej odpornym na działania służb cyberbezpieczeństwa.

Funkcjonalność malware

Analizowane złośliwe oprogramowanie komunikuje się z serwerem Command and Control (C&C) za pomocą zaszyfrowanych poleceń, oferujących cztery kluczowe funkcje:

1. Wprowadzenie systemu w stan uśpienia na określony czas.
2. Wykonanie skryptu PowerShell i raportowanie jego wyników.
3. Obsługa różnych podpoleceń, takich jak ustawianie czasu oczekiwania na odczyt/zapis, uruchamianie procesów, pobieranie i przesyłanie plików.
4. Wysyłanie komunikatu „nieprawidłowy typ polecenia” w przypadku wystąpienia błędów.

Wszystkie wyniki operacji są następnie zwracane do serwera C&C, co umożliwia atakującym pełną kontrolę nad zainfekowanym urządzeniem.

Dodatkowo oprogramowanie wykorzystuje żądania DNS do sygnalizowania postępu infekcji na wszystkich etapach. Po każdym kroku wysyłane jest zapytanie zawierające unikalny identyfikator zainfekowanej maszyny oraz numer kroku od 1 do 6, wskazujący bieżącą fazę infekcji. Ta metoda komunikacji pomaga atakującym monitorować status infekcji i skutecznie omijać niektóre mechanizmy wykrywania bazujące na analizie ruchu sieciowego.

Malware stosuje również redundancję w komunikacji, wykorzystując różne protokoły i metody wymiany danych, co dodatkowo komplikuje jego wykrycie i neutralizację przez standardowe systemy ochrony.

Wykorzystuje też dynamiczne przełączanie na nowo zarejestrowaną domenę, która przypomina legalną usługę VPN, co pozwala mu wtopić się w regularny ruch sieciowy. Ta metoda, w połączeniu z taktykami inżynierii społecznej, ma na celu zmylenie ofiar i nakłonienie ich do pobrania złośliwych narzędzi.

Co robić, aby nie paść ofiarą ataku?

Złośliwe oprogramowanie używa fałszywych domen, które na pierwszy rzut oka wyglądają jak autentyczne usługi, co dodatkowo zwiększa prawdopodobieństwo sukcesu. W wielu przypadkach atakujący starają się przekonać użytkowników, że instalują legalne oprogramowanie VPN, podczas gdy w rzeczywistości infekują swoje systemy malwarem.

Aby skutecznie przeciwdziałać takim zagrożeniom, organizacje powinny priorytetowo traktować edukację użytkowników na temat metod socjotechnicznych stosowanych przez cyberprzestępców. Powinny również wdrażać ścisłe kontrole dostępu, wprowadzać zaawansowane zabezpieczenia poczty e-mail i sieci, takie jak filtrowanie adresów URL i skanowanie załączników, a także utrzymywać dobrze zdefiniowany plan reagowania na incydenty, który umożliwia szybkie wykrywanie i neutralizację zagrożeń.

Dodatkowo monitorowanie nietypowego ruchu sieciowego oraz wdrażanie systemów wykrywania zagrożeń w czasie rzeczywistym mogą znacząco zwiększyć skuteczność ochrony przed tego rodzaju zaawansowanymi atakami.