ShadowPad Malware déployé contre des cibles pakistanaises
Un acteur malveillant non identifié a compromis une application largement utilisée au Pakistan, entraînant la distribution de ShadowPad, un successeur de la porte dérobée PlugX associée aux groupes de piratage chinois.
Les cibles touchées par cette cyberattaque comprennent une entité gouvernementale, une banque du secteur public et un fournisseur de télécommunications au Pakistan. Selon Trend Micro, les infections se sont produites entre février et septembre 2022.
Trend Micro suggère que cet incident peut être le résultat d'une attaque de la chaîne d'approvisionnement, où une application logicielle légitime utilisée par les entités ciblées est falsifiée pour déployer des logiciels malveillants capables de collecter des informations sensibles à partir de systèmes compromis.
L'attaque impliquait un programme d'installation malveillant pour E-Office, un logiciel développé par le National Information Technology Board (NITB) du Pakistan pour faciliter les opérations sans papier dans les ministères.
Vecteur d'attaque encore inconnu
La méthode exacte utilisée pour fournir le programme d'installation E-Office compromis aux victimes est actuellement inconnue. Cependant, il n'y a jusqu'à présent aucune preuve suggérant que l'environnement de construction de l'agence gouvernementale pakistanaise impliquée ait été compromis.
Cela soulève la possibilité que l'auteur de la menace ait obtenu le programme d'installation légitime et l'ait modifié pour inclure des logiciels malveillants. Ils ont probablement incité les victimes à exécuter la version cheval de Troie grâce à des tactiques d'ingénierie sociale.
Dans le cadre de l'attaque, trois fichiers ont été ajoutés au véritable programme d'installation MSI : Telerik.Windows.Data.Validation.dll, mscoree.dll et mscoree.dll.dat. Parmi ceux-ci, Telerik.Windows.Data.Validation.dll est un fichier applaunch.exe valide signé par Microsoft, sensible au chargement latéral de DLL. Cela permet le chargement de mscoree.dll, qui à son tour charge mscoree.dll.dat, la charge utile transportant le malware ShadowPad.
Trend Micro note que les techniques d'obfuscation utilisées pour dissimuler la DLL et le déchiffrement final des logiciels malveillants sont une évolution des méthodes précédemment exposées par Positive Technologies en janvier 2021, lié au groupe Winnti (également connu sous le nom d'APT41), engagé dans le cyberespionnage chinois. campagnes.