Actorii de amenințări ShadowPad revin cu greve proaspete ale guvernului, instrumente actualizate

Un grup de amenințări asociat anterior cu notoriul troian de acces la distanță (RAT) ShadowPad a fost observat folosind versiuni vechi și învechite ale pachetelor software populare pentru a încărca malware pe sistemele aparținând mai multor organizații guvernamentale și de apărare țintă din Asia.

Motivul pentru utilizarea versiunilor învechite de software legitim este că acestea permit atacatorilor să folosească o metodă binecunoscută numită dynamic link library (DLL) pentru a-și executa încărcăturile utile rău intenționate pe un sistem țintă. Cele mai multe versiuni actuale ale acelorași produse protejează împotriva vectorului de atac, care implică, practic, adversarii care deghizează un fișier DLL rău intenționat ca unul legitim și îl plasează într-un director în care aplicația ar încărca și rula automat fișierul.

Cercetătorii din echipa Symantec Threat Hunter de la Broadcom Software au observat shadowpad-grup de amenințări legat de utilizarea tacticii într-o campanie de spionaj cibernetic. Țintele grupului au inclus până acum un birou al primului ministru, organizații guvernamentale legate de sectorul financiar, firme de apărare și aerospațiale deținute de guvern și companii de telecomunicații, IT și media deținute de stat. Analiza furnizorului de securitate a arătat că campania este în desfășurare cel puțin de la începutul anului 2021, cu informațiile fiind principalul obiectiv.

O tactică de atac cibernetic bine-cunoscută, dar de succes

"Utilizarea aplicații legitime pentru a facilita încărcarea laterală a DLL pare să fie o tendință în creștere în rândul actorilor de spionaj care operează în regiune”, a declarat Symantec într-un raport de săptămâna aceasta. Este o tactică atractivă, deoarece instrumentele anti-malware adesea nu detectează activitatea rău intenționată, deoarece atacatorii au folosit aplicații vechi pentru încărcare laterală.

„În afară de vechimea aplicațiilor, un alt aspect comun este că toate erau nume relativ cunoscute și, prin urmare, pot părea inofensive.” spune Alan Neville, analist de informații despre amenințări cu echipa Symantec de vânătoare de amenințări.

Faptul că grupul din spatele campaniei actuale din Asia folosește tactica, în ciuda faptului că este bine înțeleasă, sugerează că tehnica are un anumit succes, a spus Symantec.

Neville spune că compania sa nu a observat recent că actorii amenințărilor folosesc tactica în SUA sau în altă parte. „Tehnica este folosită mai ales de atacatorii care se concentrează pe organizațiile asiatice”, adaugă el.

Neville spune că în majoritatea atacurilor din ultima campanie, actorii amenințărilor au folosit utilitarul legitim PsExec Windows pentru executarea de programe pe sisteme la distanță pentru a efectua încărcarea laterală și a implementa malware. În fiecare caz, atacatorii au compromis deja sistemele pe care instalau vechile aplicații legitime.

„[Programele] au fost instalate pe fiecare computer compromis pe care atacatorii doreau să ruleze malware. În unele cazuri, ar putea fi mai multe computere pe aceeași rețea victimă”, spune Neville. În alte cazuri, Symantec i-a observat, de asemenea, implementând mai multe aplicații legitime pe o singură mașină pentru a-și încărca programele malware, adaugă el.

„Au folosit o gamă destul de mare de software, inclusiv software de securitate, software de grafică și browsere web”, notează el. În unele cazuri, cercetătorii Symantec au observat, de asemenea, atacatorul folosind fișiere de sistem legitime din sistemul de operare Windows XP moștenit pentru a activa atacul.

Logdatter, gama de încărcături utile rău intenționate

Una dintre sarcinile utile rău intenționate este un nou furt de informații numit Logdatter, care permite atacatorilor să înregistreze apăsările de taste, să facă capturi de ecran, să interogheze bazele de date SQL, să injecteze cod arbitrar și să descarce fișiere, printre altele. Alte sarcini utile pe care actorul amenințării le folosește în campania sa asiatică includ un troian bazat pe PlugX, două RAT-uri numite Trochilus și Quasar și câteva instrumente legitime cu dublă utilizare. Acestea includ Ladon, un cadru de testare de penetrare, FScan și NBTscan pentru scanarea mediilor victimelor.

Neville spune că Symantec nu a reușit să determine cu certitudine modul în care actorii amenințărilor ar putea obține accesul inițial într-un mediu țintă. Dar phishingul și țintirea oportunităților sistemelor nepatchate sunt vectori probabili.

„În mod alternativ, un atac la lanțul de aprovizionare cu software nu este în afara competențelor acestor atacatori, deoarece actorii cu acces la ShadowPad sunt se știe că a lansat atacuri în lanțul de aprovizionare în trecut”, notează Neville. Odată ce actorii amenințărilor au obținut acces la un mediu, aceștia au avut tendința de a utiliza o serie de instrumente de scanare, cum ar fi NBTScan, TCPing, FastReverseProxy și Fscan pentru a căuta alte sisteme de vizat.

Pentru a se apăra împotriva acestor tipuri de atacuri, organizațiile trebuie să implementeze mecanisme pentru auditarea și controlul software-ului care ar putea rula în rețeaua lor. De asemenea, ar trebui să ia în considerare implementarea unei politici care să permită numai aplicațiilor incluse în lista albă să ruleze în mediu și să acorde prioritate corecțiilor vulnerabilităților în aplicațiile publice. 

„De asemenea, vă recomandăm să luați măsuri imediate pentru a curăța mașinile care prezintă semne de compromis”, ne sfătuiește Neville, „… inclusiv acreditările de ciclism și urmați procesul intern al propriei organizații pentru a efectua o investigație amănunțită.”