遠距辦公已是最近幾年的新常態,許多員工會透過SSL VPN系統存取企業內部環境,而最近有人佯稱提供這類系統的應用程式,意圖散布惡意程式,從而入侵企業。

資安業者趨勢科技揭露偽裝成Palo Alto Networks旗下SSL VPN服務GlobalProtect的惡意程式,駭客鎖定中東組織而來,意圖竊取內部資料,並遠端執行PowerShell命令,進而滲透受害組織的網路環境。

究竟攻擊者如何散布惡意程式,研究人員表示並不清楚,但他們認為很有可能是透過網路釣魚進行,引誘使用者安裝GlobalProtect代理程式為由進行散布。

一旦使用者執行駭客提供的安裝程式setup.exe,將會部署惡意程式GlobalProtect.exe,以及組態設定元件RTime.conf、ApProcessId.conf。完成後惡意程式會啟動Beacon機制,向攻擊者回報。

此惡意程式執行的過程裡,會檢查受害電腦是否為沙箱環境,然後將系統資訊回傳C2。該惡意程式可接收攻擊者的PowerShell指令碼並執行,或是產生處理程序、上傳或下載檔案。為了迴避偵測,攻擊者在進行通訊的命令及資訊,皆透過AES演算法處理。

值得留意的是,攻擊者為惡意程式加入Beacon的功能,源自於資安人員進行滲透測試時會利用的漏洞利用檢驗工具Interactsh,而有可能減少被視為異常的情況,而且,駭客使用含有阿拉伯聯合大公國大型城市沙迦的網域名稱sharjahconnect,使得目標用戶更容易上當。

熱門新聞

Advertisement