GlobalProtectは、Palo Alto Networkが提供しているVPNソフト製品です。
外出先でモバイル端末から社内のネットワークに、セキュアにVPNでリモートアクセスするための機能で、Palo Alto Firewallと一緒に利用するような形で多くの環境で利用されています。
このGlobalProtectのようなマルウェアが確認されています。
- setup.exe
始まりはsetup.exeです。
アプリケーションの配布形式でよくありそうなファイル名で配布されています。
これが配布される経路は明らかになっていませんが、フィッシングメールが使われていると考えるのが、それらしく思えます。 - GlobalProtect.exe
setup.exeを実行すると、GlobalProtect.exeが設置されます。
そのまま、GlobalProtectですよ、というファイル名になっています。
インストールの実施中の画面の様子も、いかにもGlobalProtectをインストールしているというような画面表示になっています。
しかし、その裏側ではマルウェアの設置が進みます。 - サンドボックス確認
マルウェアの設置プロセスとして、侵害環境がサンドボックスなのかどうかの確認が実施されます。
サンドボックスだとわかると、研究者に解析されているかもしれないということで、主要な機構は動作を行うことなく終了します。 - 侵害環境情報の持ち出し
活動を開始したマルウェアは、侵害した環境の情報をC2に持ち出します。
このC2との通信はAESで暗号化されています。
そして、通信先となるC2の宛先には「sharjahconnect」という文字列が含まれています。
この文字列は、アラブ首長国連邦のシャルジャにあるオフィスの正規のVPN接続ポータルのように見えることを狙ったもののようです。 - ビーコン送信
活動を開始したマルウェアはビーコンの送信を開始します。
このビーコン送信にはInteractshが使われています。
Interactshはgithubで公開されいるオープンソースツールです。
このツールはペネトレーションテストで使われることもあるものですが、実際の脅威アクターも使用しています。 - C2から指示されて動作する
いくつもの機能がC2からの指示で利用できるようになっています。
Powershellスクリプトの実行、プロセスの実行、指定URLからのファイルダウンロード、ファイルの持ち出し、一時停止、待機時間の設定、といった機能が搭載されています。
このマルウェアは企業などの組織向けのツールを装った内容となっています。
そして、その機能は柔軟性のあるインフォスティーラーとなっています。
このマルウェアは脆弱性を悪用した内容にはなっていません。
組織を構成する人たちのうちの誰かが出自の不明なファイルを実行してしまうことで感染するという内容になっています。
AIの登場以降、脅威アクターの用意する偽サイトや偽アプリや偽メールの仕上がりが、さらに高度化してきています。
注意して注意しすぎるということはないと思います。
気持ちを引き締めて日々システムを利用していきましょう。
Threat Actors Target the Middle East Using Fake Palo Alto GlobalProtect Tool
https://www.trendmicro.com/en_us/research/24/h/threat-actors-target-middle-east-using-fake-tool.html
| この記事をシェア |
|
|---|
