假冒Palo Alto GlobalProtect恶意软件攻击中东企业

威胁行为者正在使用伪装成Palo Alto Networks的合法VPN安全解决方案GlobalProtect的恶意软件,以中东企业为目标。这种恶意软件可以窃取数据并执行远程命令,从而破坏内部网络。GlobalProtect被广泛用于为远程员工和承包商提供对私有网络资源的安全访问。来源

Trend Micro的研究人员发现了这次攻击活动,该活动可能始于网络钓鱼电子邮件。受害者执行一个名为“setup.exe”的文件,该文件会安装一个虚假的“GlobalProtect.exe”以及配置文件。当出现类似于标准GlobalProtect安装的窗口时,恶意软件会悄无声息地安装。

执行时,恶意软件会检查沙盒环境,然后将计算机分析信息发送到命令和控制(C2)服务器。该恶意软件的C2地址利用AES加密进行通信,模仿合法的VPN门户,从而帮助其规避检测并融入目标企业环境。