بواسطة: Trend Micro

كشفت Trend Micro عن برنامج vpn خبيث متخفية في صورة أداة Palo Alto GlobalProtect، يستهدف المستخدمين في الشرق الأوسط.
• ‏يستخدم البرنامج الخبيث روتين عدوى مكون من مرحلتين وبنية تحتية متقدمة للقيادة والتحكم.

يمكن للبرامج الضارة تنفيذ أوامر PowerShell عن بعد، وتنزيل الملفات واستخراجها، وتشفير الاتصالات، وتجاوز حلول الحماية، مما يمثل تهديدًا كبيرًا للمؤسسات المستهدفة.

من بين الجوانب الأكثر بروزًا لهذا البرنامج الخبيث استخدامه لبنية تحتية للتحكم والقيادة (C&C) تدور حول عنوان URL مسجل حديثًا (" sharjahconnect "؛ لاحظ أن الشارقة هي إحدى إمارات دولة الإمارات العربية المتحدة) مصمم ليشبه بوابة VPN للشركة. لا يساعد هذا التمويه في التسلل الأولي فحسب، بل يساعد أيضًا في الحفاظ على الوصول المستمر إلى الشبكات المخترقة.

علاوة على ذلك، يستخدم البرنامج الخبيث مشروع Interactsh (أداة مصممة في المقام الأول لمختبري الاختراق للتحقق من نجاح ثغراتهم) لأغراض التوجيه. باستخدام هذه الأداة، يمكن لمرتكبي التهديد تشغيل الاتصالات بأسماء المضيفين ضمن نطاق Oast[.]fun الخاص بـ Interactsh . لاحظ أن جهات تهديد أخرى مثل APT28 لوحظت  وهي تستغل هذا المورد. في هذه الحالة، استخدم مرتكب التهديد وراء البرنامج الخبيث هذه الاتصالات كآلية توجيه لتتبع الأهداف التي تتقدم عبر مراحل مختلفة من سلسلة العدوى.

تتميز هذه البرمجية الخبيثة المكتوبة بلغة C بمجموعة من القدرات، بما في ذلك القدرة على تنفيذ أوامر PowerShell عن بعد، وتنزيل وتنفيذ حمولات إضافية، واستخراج ملفات معينة من الجهاز المصاب. وتسلط هذه الوظائف الضوء على قدرة البرمجية الخبيثة على التسبب في أضرار جسيمة وتعطيل المؤسسات المستهدفة.

وبينما ندرس التفاصيل الفنية والتداعيات الأوسع لهذا التهديد، فمن المهم لمحترفي الأمن السيبراني أن يظلوا على اطلاع دائم ويقظين. إن فهم الفروق الدقيقة لمثل هذه الهجمات المعقدة أمر ضروري لتطوير آليات دفاع فعالة وتخفيف المخاطر المحتملة على البنية الأساسية الحيوية والبيانات الحساسة.