以Palo Alto Networks SSL VPN軟體為誘餌,駭客鎖定中東組織散播惡意程式
iThome 新聞 – 近日,資安研究人員發現,有人假借提供Palo Alto Networks的SSL VPN應用程式GlobalProtect為由,散播冒牌程式,企圖在受害電腦植入惡意程式,進一步存取企業內部網路環境。此攻擊行動主要鎖定中東地區的組織,意圖竊取內部資料,並遠端執行PowerShell命令,滲透受害組織的網路環境。
攻擊手法:網路釣魚引誘安裝偽造軟體
攻擊者如何散布惡意程式目前尚不清楚,但研究人員推測很有可能是透過網路釣魚進行,引誘使用者安裝GlobalProtect代理程式為由進行散布。一旦使用者執行駭客提供的安裝程式setup.exe,將會部署惡意程式GlobalProtect.exe,以及組態設定元件RTime.conf、ApProcessId.conf。
惡意程式功能:竊取資料、執行命令、迴避偵測
完成安裝後,惡意程式會啟動Beacon機制,向攻擊者回報。在執行的過程中,惡意程式會檢查受害電腦是否為沙箱環境,然後將系統資訊回傳C2(指令與控制伺服器)。該惡意程式可接收攻擊者的PowerShell指令碼並執行,或是產生處理程序、上傳或下載檔案。為了迴避偵測,攻擊者在進行通訊的命令及資訊,皆透過AES演算法處理。
攻擊者利用漏洞利用檢驗工具和地理位置誘騙目標
值得留意的是,攻擊者為惡意程式加入Beacon的功能,源自於資安人員進行滲透測試時會利用的漏洞利用檢驗工具Interactsh,而有可能減少被視為異常的情況。此外,駭客使用含有阿拉伯聯合大公國大型城市沙迦的網域名稱sharjahconnect,使得目標用戶更容易上當。
專家提醒:提高警覺,注意網路安全
趨勢科技提醒使用者,應提高警覺,注意網路安全。不要輕易點擊不明連結或安裝來源不明的軟體,並定期更新系統和軟體,以降低遭受攻擊的風險。此外,企業應加強網路安全防禦措施,例如使用多因素驗證、防火牆、入侵偵測系統等,並定期進行安全評估,以防範此類攻擊。
相關報導:
- Docker-OSX映像檔儲存庫遭蘋果要求移除
- 北韓駭客駭入Chromium漏洞植入rootkit程式Fudmodule
- Elastic與AWS授權爭議落幕,Elasticsearch重新提供開源授權
- 半年前才現身的RansomHub勒索軟體,受害者已超過210家
- 數位部擬於12月提出公務機關AI應用指引,要教機關評估AI工具、專案管理及做好風險控管
iThome Security 熱門新聞:
- 巴西全面封鎖X
- 【資安週報】2024年8月26日到8月30日
- 惡意軟體Voldemort濫用Google Sheets,意圖竊取全球企業組織稅務機關資料
iThome Security 專題報導:
- 日月光永續轉型
- 【iThome 2024 CIO大調查系列6】2024企業技術雷達圖
- 全球最大AI模型硬體設施鍊成術
*【iThome 2024 CIO大調查系列5】臺灣企業DevOps再進化 - 資料中心I/O架構新面貌
版權聲明: Copyright © iThome 刊登廣告訂閱週刊授權服務服務信箱隱私權聲明與會員使用條款關於iThomeRSS 徵才
Views: 0