ShadowPad Malware utplacerad mot pakistanska mål
En oidentifierad hotaktör har äventyrat en flitigt använd applikation i Pakistan, vilket resulterat i distributionen av ShadowPad, en efterföljare till PlugX-bakdörren förknippad med kinesiska hackergrupper.
De mål som påverkas av denna cyberattack inkluderar en statlig enhet, en offentlig bank och en telekommunikationsleverantör i Pakistan. Enligt Trend Micro inträffade infektionerna mellan februari och september 2022.
Trend Micro föreslår att den här incidenten kan vara ett resultat av en supply-chain-attack, där en legitim programvara som används av de riktade enheterna manipuleras för att distribuera skadlig programvara som kan samla in känslig information från komprometterade system.
Attacken involverade en skadlig installatör för E-Office, en programvara som utvecklats av National Information Technology Board (NITB) i Pakistan för att underlätta papperslösa operationer i statliga myndigheter.
Attackvektor fortfarande okänd
Den exakta metoden som användes för att leverera den komprometterade E-Office-installatören till offren är för närvarande okänd. Det finns dock hittills inga bevis som tyder på att byggmiljön för den inblandade pakistanska statliga myndigheten har äventyrats.
Detta ökar möjligheten att hotaktören skaffat det legitima installationsprogrammet och modifierat det för att inkludera skadlig programvara. De lockade sannolikt offer att köra den trojaniserade versionen genom social ingenjörsteknik.
Som en del av attacken lades tre filer till i det äkta MSI-installationsprogrammet: Telerik.Windows.Data.Validation.dll, mscoree.dll och mscoree.dll.dat. Bland dessa är Telerik.Windows.Data.Validation.dll en giltig applaunch.exe-fil signerad av Microsoft, mottaglig för DLL-sidoladdning. Detta tillåter laddning av mscoree.dll, som i sin tur laddar mscoree.dll.dat, nyttolasten som bär ShadowPad skadlig programvara.
Trend Micro noterar att fördunklingsteknikerna som används för att dölja DLL:n och dekrypteringen av skadlig programvara i slutskedet är en utveckling av metoder som tidigare avslöjats av Positive Technologies i januari 2021, kopplade till Winnti-gruppen (även känd som APT41), engagerad i kinesiskt cyberspionage kampanjer.