Κακόβουλο λογισμικό ShadowPad που αναπτύσσεται ενάντια σε Πακιστανικούς στόχους

Ένας άγνωστος παράγοντας απειλής έχει θέσει σε κίνδυνο μια ευρέως χρησιμοποιούμενη εφαρμογή στο Πακιστάν, με αποτέλεσμα τη διανομή του ShadowPad, ενός διαδόχου του backdoor του PlugX που σχετίζεται με κινεζικές ομάδες χάκερ.

Οι στόχοι που επηρεάζονται από αυτήν την κυβερνοεπίθεση περιλαμβάνουν μια κυβερνητική οντότητα, μια τράπεζα του δημόσιου τομέα και έναν πάροχο τηλεπικοινωνιών στο Πακιστάν. Σύμφωνα με την Trend Micro, οι μολύνσεις σημειώθηκαν μεταξύ Φεβρουαρίου και Σεπτεμβρίου του 2022.

Η Trend Micro προτείνει ότι αυτό το περιστατικό μπορεί να είναι αποτέλεσμα επίθεσης στην αλυσίδα εφοδιασμού, όπου μια νόμιμη εφαρμογή λογισμικού που χρησιμοποιείται από τις στοχευόμενες οντότητες παραποιείται για την ανάπτυξη κακόβουλου λογισμικού ικανού να συλλέγει ευαίσθητες πληροφορίες από παραβιασμένα συστήματα.

Η επίθεση αφορούσε ένα κακόβουλο πρόγραμμα εγκατάστασης για το E-Office, ένα λογισμικό που αναπτύχθηκε από το Εθνικό Συμβούλιο Τεχνολογίας Πληροφορικής (NITB) του Πακιστάν για να διευκολύνει τις λειτουργίες χωρίς χαρτί σε κυβερνητικές υπηρεσίες.

Διάνυσμα επίθεσης ακόμα άγνωστο

Η ακριβής μέθοδος που χρησιμοποιείται για την παράδοση του παραβιασμένου προγράμματος εγκατάστασης E-Office στα θύματα είναι προς το παρόν άγνωστη. Ωστόσο, μέχρι στιγμής δεν υπάρχουν στοιχεία που να υποδηλώνουν ότι το περιβάλλον κατασκευής της εμπλεκόμενης πακιστανικής κυβερνητικής υπηρεσίας έχει παραβιαστεί.

Αυτό αυξάνει την πιθανότητα ότι ο παράγοντας απειλής απέκτησε το νόμιμο πρόγραμμα εγκατάστασης και το τροποποίησε ώστε να συμπεριλάβει κακόβουλο λογισμικό. Πιθανότατα παρέσυραν τα θύματα να εκτελέσουν την τρωανοποιημένη έκδοση μέσω τακτικών κοινωνικής μηχανικής.

Ως μέρος της επίθεσης, τρία αρχεία προστέθηκαν στο γνήσιο πρόγραμμα εγκατάστασης MSI: Telerik.Windows.Data.Validation.dll, mscoree.dll και mscoree.dll.dat. Μεταξύ αυτών, το Telerik.Windows.Data.Validation.dll είναι ένα έγκυρο αρχείο applaunch.exe υπογεγραμμένο από τη Microsoft, επιρρεπές σε πλευρική φόρτωση DLL. Αυτό επιτρέπει τη φόρτωση του mscoree.dll, το οποίο με τη σειρά του φορτώνει το mscoree.dll.dat, το ωφέλιμο φορτίο που φέρει το κακόβουλο λογισμικό ShadowPad.

Η Trend Micro σημειώνει ότι οι τεχνικές συσκότισης που χρησιμοποιούνται για την απόκρυψη του DLL και της αποκρυπτογράφησης κακόβουλου λογισμικού τελικού σταδίου είναι μια εξέλιξη μεθόδων που είχαν προηγουμένως εκτεθεί από την Positive Technologies τον Ιανουάριο του 2021, συνδεδεμένη με την ομάδα Winnti (επίσης γνωστή ως APT41), που ασχολείται με την κινεζική κατασκοπεία στον κυβερνοχώρο εκστρατείες.