ShadowPad Malware utplassert mot pakistanske mål
En uidentifisert trusselaktør har kompromittert et mye brukt program i Pakistan, noe som har resultert i distribusjon av ShadowPad, en etterfølger til PlugX-bakdøren knyttet til kinesiske hackergrupper.
Målene som er berørt av dette cyberangrepet inkluderer en statlig enhet, en offentlig bank og en telekommunikasjonsleverandør i Pakistan. Ifølge Trend Micro skjedde infeksjonene mellom februar og september 2022.
Trend Micro antyder at denne hendelsen kan være et resultat av et forsyningskjedeangrep, der en legitim programvareapplikasjon som brukes av de målrettede enhetene tukles med for å distribuere skadelig programvare som er i stand til å samle sensitiv informasjon fra kompromitterte systemer.
Angrepet involverte et ondsinnet installasjonsprogram for E-Office, en programvare utviklet av National Information Technology Board (NITB) i Pakistan for å lette papirløse operasjoner i offentlige avdelinger.
Angrepsvektor fortsatt ukjent
Den nøyaktige metoden som ble brukt for å levere det kompromitterte E-Office-installasjonsprogrammet til ofrene er foreløpig ukjent. Det er imidlertid ingen bevis så langt som tyder på at byggemiljøet til det involverte pakistanske myndighetsorganet har blitt kompromittert.
Dette øker muligheten for at trusselaktøren skaffet det legitime installasjonsprogrammet og modifiserte det til å inkludere skadelig programvare. De lokket sannsynligvis ofre til å kjøre den trojaniserte versjonen gjennom taktikk for sosial ingeniørkunst.
Som en del av angrepet ble tre filer lagt til det ekte MSI-installasjonsprogrammet: Telerik.Windows.Data.Validation.dll, mscoree.dll og mscoree.dll.dat. Blant disse er Telerik.Windows.Data.Validation.dll en gyldig applaunch.exe-fil signert av Microsoft, mottakelig for DLL-sideinnlasting. Dette tillater lasting av mscoree.dll, som igjen laster mscoree.dll.dat, nyttelasten som bærer ShadowPad malware.
Trend Micro bemerker at tilsløringsteknikkene som brukes for å skjule DLL-en og dekrypteringen av skadelig programvare i siste fase er en utvikling av metoder som tidligere ble avslørt av Positive Technologies i januar 2021, knyttet til Winnti-gruppen (også kjent som APT41), engasjert i kinesisk cyberspionasje kampanjer.
