ShadowPad マルウェアがパキスタンをターゲットに展開

正体不明の攻撃者がパキスタンで広く使用されているアプリケーションを侵害し、その結果、中国のハッキング グループに関連する PlugX バックドアの後継である ShadowPad が配布されました。

このサイバー攻撃の標的には、パキスタンの政府機関、公共部門の銀行、電気通信プロバイダーなどが含まれます。トレンドマイクロによると、感染は２０２２年２月から９月にかけて発生した。

トレンドマイクロは、このインシデントはサプライチェーン攻撃の結果である可能性があると示唆しています。この攻撃では、標的となった組織が使用する正規のソフトウェア アプリケーションが改ざんされ、侵害されたシステムから機密情報を収集できるマルウェアが展開されます。

この攻撃には、パキスタン国家情報技術委員会 (NITB) が政府部門のペーパーレス化を促進するために開発したソフトウェアである E-Office の悪意のあるインストーラーが関与していました。

攻撃ベクトルはまだ不明

侵害された E-Office インストーラーを被害者に配布するために使用された正確な方法は、現時点では不明です。しかし、これまでのところ、関係するパキスタン政府機関の構築環境が侵害されたことを示唆する証拠はありません。

これにより、攻撃者が正規のインストーラーを入手し、それを改変してマルウェアを組み込んだ可能性が高まります。彼らは、ソーシャル エンジニアリング戦術を通じて、トロイの木馬化されたバージョンを実行するように被害者を誘導した可能性があります。

攻撃の一環として、Telerik.Windows.Data.Validation.dll、mscoree.dll、mscoree.dll.dat の 3 つのファイルが正規の MSI インストーラーに追加されました。このうち、Telerik.Windows.Data.Validation.dll は、Microsoft によって署名された有効な applaunch.exe ファイルであり、DLL サイドローディングの影響を受けやすいです。これにより、mscoree.dll の読み込みが可能になり、さらに mscoree.dll.dat (ShadowPad マルウェアを運ぶペイロード) が読み込まれます。

トレンドマイクロは、DLL の隠蔽に使用された難読化技術と最終段階のマルウェア復号化は、2021 年 1 月に Positive Technologies によって以前に公開された手法の進化版であり、中国のサイバースパイ活動に従事する Winnti グループ (APT41 としても知られる) に関連していると指摘しています。キャンペーン。