远距办公已是最近几年的新常态,许多员工会透过SSL VPN系统存取企业内部环境,而最近有人佯称提供这类系统的应用程式,意图散布恶意程式,从而入侵企业。
此恶意程式执行的过程里,会检查受害电脑是否为沙箱环境,然后将系统资讯回传C2。该恶意程式可接收攻击者的PowerShell指令码并执行,或是产生处理程序、上传或下载档案。为了回避侦测,攻击者在进行通讯的命令及资讯,皆透过AES演算法处理。
值得留意的是,攻击者为恶意程式加入Beacon的功能,源自于资安人员进行渗透测试时会利用的漏洞利用检验工具Interactsh,而有可能减少被视为异常的情况,而且,骇客使用含有阿拉伯联合大公国大型城市沙迦的网域名称sharjahconnect,使得目标用户更容易上当。