トレンドマイクロは8月29日(米国時間)、「Threat Actors Target the Middle East Using Fake Palo Alto GlobalProtect Tool|Trend Micro (US)」において、パロアルトネットワークスのエンドポイント向け次世代ファイアウォール「GlobalProtect」に偽装したマルウェアを発見したと報じた。このマルウェアは主に中東のユーザーを標的にしているとみられている。

  • Threat Actors Target the Middle East Using Fake Palo Alto GlobalProtect Tool|Trend Micro (US)

    Threat Actors Target the Middle East Using Fake Palo Alto GlobalProtect Tool|Trend Micro (US)

侵害経路

同社の調査によると、初期感染経路は不明とされる。しかしながら、偽装しているソフトウェアがVPN(Virtual Private Network)機能を持つネットワークセキュリティ製品であることから、VPNの宣伝またはセキュリティ向上をうたうフィッシング攻撃を使用した可能性が指摘されている。

被害者が偽のGlobalProtectのインストールを試みると、セットアップ画面が表示される。このとき、バックグラウンドでマルウェアの主要コンポーネント「GlobalProtect.exe」と設定ファイルが「C:\Users(UserName)\AppData\Local\Programs\PaloAlto\」に展開、実行される。

  • 偽のセットアップ画面 - 引用:Trend Micro

    偽のセットアップ画面 引用:トレンドマイクロ

GlobalProtect.exeには感染プロセスの進行度を報告する機能があり、セキュリティテストツール「interactsh」のサーバ「oast[.]fun」に6段階の状況を報告する。GlobalProtect.exeはセキュリティソリューションが存在しない場合に処理を続行し、攻撃者のコマンド&コントロール(C2: Command and Control)サーバに接続する。

  • 侵害経路 - 引用:Trend Micro

    侵害経路 引用:トレンドマイクロ

マルウェアの機能

Trend Microの分析によると、このマルウェアには次の機能があるとされる。

  • PowerShellスクリプトの実行
  • 指定時間の待機
  • プロセスの実行
  • ファイルのダウンロードおよびアップロード

対策

初期感染経路は不明だがフィッシング攻撃を用いた可能性が高く、すべてのインターネットユーザーにはフィッシング対策のベストプラクティスを実践することが推奨されている。また、ソーシャルエンジニアリング攻撃による囲い込みの可能性もあることから、企業のセキュリティ担当者には最小権限の原則の徹底、強力なセキュリティソリューションの導入が望まれている。