Malware ShadowPad schierato contro obiettivi pakistani
Un attore di minacce non identificato ha compromesso un'applicazione ampiamente utilizzata in Pakistan, con conseguente distribuzione di ShadowPad, un successore della backdoor PlugX associata ai gruppi di hacker cinesi.
Gli obiettivi colpiti da questo attacco informatico includono un ente governativo, una banca del settore pubblico e un fornitore di telecomunicazioni in Pakistan. Secondo Trend Micro, le infezioni si sono verificate tra febbraio e settembre del 2022.
Trend Micro suggerisce che questo incidente potrebbe essere il risultato di un attacco alla catena di approvvigionamento, in cui un'applicazione software legittima utilizzata dalle entità prese di mira viene manomessa per distribuire malware in grado di raccogliere informazioni sensibili da sistemi compromessi.
L'attacco ha coinvolto un programma di installazione dannoso per E-Office, un software sviluppato dal National Information Technology Board (NITB) del Pakistan per facilitare le operazioni senza carta nei dipartimenti governativi.
Vettore di attacco ancora sconosciuto
Il metodo esatto utilizzato per consegnare alle vittime il programma di installazione di E-Office compromesso è attualmente sconosciuto. Tuttavia, finora non ci sono prove che suggeriscano che l'ambiente di costruzione dell'agenzia governativa pakistana coinvolta sia stato compromesso.
Ciò solleva la possibilità che l'autore della minaccia abbia ottenuto il programma di installazione legittimo e lo abbia modificato per includere malware. Probabilmente hanno indotto le vittime a eseguire la versione trojanizzata attraverso tattiche di ingegneria sociale.
Come parte dell'attacco, tre file sono stati aggiunti al vero programma di installazione MSI: Telerik.Windows.Data.Validation.dll, mscoree.dll e mscoree.dll.dat. Tra questi, Telerik.Windows.Data.Validation.dll è un file applaunch.exe valido firmato da Microsoft, suscettibile di caricamento laterale DLL. Ciò consente il caricamento di mscoree.dll, che a sua volta carica mscoree.dll.dat, il payload che trasporta il malware ShadowPad.
Trend Micro rileva che le tecniche di offuscamento utilizzate per celare la DLL e la decrittazione del malware in fase finale sono un'evoluzione di metodi precedentemente esposti da Positive Technologies nel gennaio 2021, legata al gruppo Winnti (noto anche come APT41), impegnato nello spionaggio informatico cinese campagne.