ShadowPad Malware implementeret mod pakistanske mål
En uidentificeret trusselsaktør har kompromitteret en meget brugt applikation i Pakistan, hvilket har resulteret i distributionen af ShadowPad, en efterfølger til PlugX-bagdøren forbundet med kinesiske hackergrupper.
Målene, der er berørt af dette cyberangreb, omfatter en regeringsenhed, en offentlig bank og en telekommunikationsudbyder i Pakistan. Ifølge Trend Micro skete infektionerne mellem februar og september 2022.
Trend Micro antyder, at denne hændelse kan være et resultat af et forsyningskædeangreb, hvor en legitim softwareapplikation, der bruges af de målrettede enheder, bliver manipuleret med at implementere malware, der er i stand til at indsamle følsomme oplysninger fra kompromitterede systemer.
Angrebet involverede et ondsindet installationsprogram til E-Office, en software udviklet af National Information Technology Board (NITB) i Pakistan for at lette papirløse operationer i regeringsafdelinger.
Angrebsvektor stadig ukendt
Den nøjagtige metode, der blev brugt til at levere det kompromitterede E-Office-installatør til ofrene, er i øjeblikket ukendt. Der er dog indtil videre ingen beviser, der tyder på, at byggemiljøet for det involverede pakistanske regeringsorgan er blevet kompromitteret.
Dette rejser muligheden for, at trusselsaktøren har fået det legitime installationsprogram og ændret det til at inkludere malware. De lokkede sandsynligvis ofre til at køre den trojanske version gennem social engineering taktik.
Som en del af angrebet blev tre filer tilføjet til det ægte MSI-installationsprogram: Telerik.Windows.Data.Validation.dll, mscoree.dll og mscoree.dll.dat. Blandt disse er Telerik.Windows.Data.Validation.dll en gyldig applaunch.exe-fil signeret af Microsoft, modtagelig for DLL-sideindlæsning. Dette tillader indlæsning af mscoree.dll, som igen indlæser mscoree.dll.dat, nyttelasten, der bærer ShadowPad malware.
Trend Micro bemærker, at sløringsteknikkerne, der bruges til at skjule DLL'en og malware-dekryptering i sidste fase, er en udvikling af metoder, der tidligere blev afsløret af Positive Technologies i januar 2021, knyttet til Winnti-gruppen (også kendt som APT41), der beskæftiger sig med kinesisk cyberspionage kampagner.