

使用资安业者Palo Alto Networks的SSL VPN服务GlobalProtect作为诱饵的攻击行动再添一桩,该公司的威胁情报团队Unit 42指出,黑客将其用来散布恶意程序加载工具WikiLoader
而这个文件解压缩后,用户很可能只看到运行档GlobalProtect64.exe,但研究人员指出,实际上ZIP档里含有超过400个文件,大部分都设为隐藏。若是用户运行上述运行档,黑客就会使用DLL侧载手法加载第1个WikiLoader组件。
接着,该DLL组件加载其他模块,并解开Shell Code,注入Windows文件总管的处理进程。
而被注入的代码将C2服务器进行通信,黑客利用遭骇的WordPress网站充当C2,并使用物联网设备常见的通信协定MQTT连接。
之后,这些被注入的代码又被加载Sysinternals公用程序组件,然后从C2伺服下载WikiLoader后门程序,并通过侧载的方式运行。但究竟后续黑客借由WikiLoader在受害电脑植入那些恶意软件,研究人员表示不清楚。
研究人员提及,攻击者运用用户习以为常的错误消息,防止察觉异状。例如,前述安装程序并不会真的部署GlobalProtect,而黑客在完成恶意程序加载后,会显示特定程序库遗失而无法完成安装的错误消息,借此避免用户起疑。