„ShadowPad“ kenkėjiška programa, įdiegta prieš Pakistano taikinius
Nenustatytas grėsmės veikėjas pakenkė Pakistane plačiai naudojamai programai, todėl buvo išplatinta „ShadowPad“, „PlugX backdoor“ įpėdinė, susijusi su Kinijos įsilaužimo grupėmis.
Šios kibernetinės atakos taikiniai yra vyriausybės subjektas, viešojo sektoriaus bankas ir telekomunikacijų paslaugų teikėjas Pakistane. „Trend Micro“ duomenimis, infekcijos įvyko nuo 2022 m. vasario iki rugsėjo.
„Trend Micro“ teigia, kad šis incidentas gali būti tiekimo grandinės atakos rezultatas, kai teisėta programinė įranga, kurią naudoja tikslinės įmonės, yra pažeidžiama siekiant įdiegti kenkėjišką programą, galinčią rinkti neskelbtiną informaciją iš pažeistų sistemų.
Į ataką įtraukta kenkėjiška „E-Office“ – programinės įrangos, kurią sukūrė Pakistano nacionalinė informacinių technologijų valdyba (NITB), kuri palengvina popierines operacijas vyriausybės departamentuose, diegimo programa.
Atakos vektorius vis dar nežinomas
Tikslus būdas, kuriuo nukentėjusiems buvo pristatyta pažeista „E-Office“ diegimo programa, šiuo metu nežinoma. Tačiau kol kas nėra įrodymų, kad Pakistano vyriausybės agentūros statybų aplinka buvo pažeista.
Tai padidina galimybę, kad grėsmės veikėjas gavo teisėtą diegimo programą ir ją modifikavo, įtraukdamas kenkėjišką programą. Tikėtina, kad jie priviliojo aukas paleisti trojanizuotą versiją pasitelkdami socialinės inžinerijos taktiką.
Kaip atakos dalis, prie autentiškos MSI diegimo programos buvo pridėti trys failai: Telerik.Windows.Data.Validation.dll, mscoree.dll ir mscoree.dll.dat. Tarp jų Telerik.Windows.Data.Validation.dll yra galiojantis „Microsoft“ pasirašytas failas applaunch.exe, kuris gali būti įkeliamas iš šono. Tai leidžia įkelti mscoree.dll, kuris savo ruožtu įkelia mscoree.dll.dat, naudingą apkrovą, kurioje yra „ShadowPad“ kenkėjiška programa.
„Trend Micro“ pažymi, kad užmaskavimo metodai, naudojami norint nuslėpti DLL ir paskutinio etapo kenkėjiškų programų iššifravimą, yra metodų, anksčiau 2021 m. sausio mėn. atskleistų „Positive Technologies“, susietų su „Winnti“ grupe (taip pat žinoma kaip APT41), užsiimančia Kinijos kibernetiniu šnipinėjimu, raida. kampanijos.
