针对巴基斯坦目标部署的 ShadowPad 恶意软件
一名身份不明的威胁行为者破坏了巴基斯坦广泛使用的应用程序,导致 ShadowPad 传播,ShadowPad 是与中国黑客组织相关的 PlugX 后门的后门。
受此次网络攻击影响的目标包括巴基斯坦的一家政府实体、一家公共部门银行和一家电信提供商。据趋势科技称,感染发生在 2022 年 2 月至 9 月期间。
趋势科技认为,此事件可能是供应链攻击的结果,其中目标实体使用的合法软件应用程序被篡改,以部署能够从受损系统收集敏感信息的恶意软件。
这次攻击涉及 E-Office 的恶意安装程序,E-Office 是巴基斯坦国家信息技术委员会 (NITB) 开发的软件,旨在促进政府部门的无纸化操作。
攻击向量仍未知
目前尚不清楚将受感染的 E-Office 安装程序交付给受害者的确切方法。然而,到目前为止,没有证据表明所涉及的巴基斯坦政府机构的构建环境已受到损害。
这增加了威胁行为者获得合法安装程序并将其修改为包含恶意软件的可能性。他们可能通过社会工程策略引诱受害者运行木马版本。
作为攻击的一部分,三个文件被添加到正版 MSI 安装程序中:Telerik.Windows.Data.Validation.dll、mscoree.dll 和 mscoree.dll.dat。其中,Telerik.Windows.Data.Validation.dll是由微软签名的有效applaunch.exe文件,容易受到DLL旁加载的影响。这允许加载 mscoree.dll,进而加载 mscoree.dll.dat,即携带 ShadowPad 恶意软件的有效负载。
趋势科技指出,用于隐藏 DLL 和最终阶段恶意软件解密的混淆技术是 Positive Technologies 先前于 2021 年 1 月曝光的方法的演变,该技术与从事中国网络间谍活动的 Winnti 组织(也称为 APT41)有关活动。