ShadowPad rosszindulatú programokat telepítettek pakisztáni célpontok ellen

Egy azonosítatlan fenyegetettség feltört egy Pakisztánban széles körben használt alkalmazást, aminek eredményeként a ShadowPad, a kínai hackercsoportokhoz kapcsolódó PlugX hátsó ajtó utódja lett.

A kibertámadás által érintett célpontok közé tartozik egy kormányzati szerv, egy állami bank és egy távközlési szolgáltató Pakisztánban. A Trend Micro szerint a fertőzések 2022 februárja és szeptembere között történtek.

A Trend Micro szerint ez az incidens egy ellátási lánc támadás eredménye lehet, amikor a megcélzott entitások által használt legitim szoftveralkalmazást manipulálják, hogy olyan rosszindulatú programokat telepítsenek, amelyek képesek érzékeny információkat gyűjteni a feltört rendszerekről.

A támadásban a pakisztáni Nemzeti Informatikai Tanács (NITB) által kifejlesztett E-Office rosszindulatú telepítője volt, amely megkönnyíti a papírmentes műveleteket a kormányzati szerveknél.

A támadás vektora még ismeretlen

Jelenleg nem ismert a pontos módszer, amellyel a kompromittált E-Office telepítőt eljuttatták az áldozatokhoz. Egyelőre azonban nincs bizonyíték arra, hogy az érintett pakisztáni kormányhivatal építési környezete veszélybe került.

Ez felveti annak lehetőségét, hogy a fenyegetés szereplője megszerezte a törvényes telepítőt, és úgy módosította, hogy tartalmazzon rosszindulatú programokat. Valószínűleg szociális tervezési taktikával csábították az áldozatokat a trójai verzió futtatására.

A támadás részeként három fájl került az eredeti MSI telepítőbe: Telerik.Windows.Data.Validation.dll, mscoree.dll és mscoree.dll.dat. Ezek közül a Telerik.Windows.Data.Validation.dll egy érvényes, Microsoft által aláírt applaunch.exe fájl, amely érzékeny a DLL oldalsó betöltésére. Ez lehetővé teszi az mscoree.dll betöltését, amely viszont betölti az mscoree.dll.dat fájlt, a ShadowPad kártevőt hordozó rakományt.

A Trend Micro megjegyzi, hogy a DLL elrejtésére használt homályos technikák és a rosszindulatú programok utolsó szakaszának visszafejtése a Positive Technologies által korábban 2021 januárjában nyilvánosságra hozott módszerek evolúciója, amely a Winnti csoporthoz (más néven APT41 néven) kapcsolódik, és részt vett a kínai kiberkémkedésben. kampányok.