Złośliwe oprogramowanie ShadowPad wdrożone przeciwko celom w Pakistanie
Niezidentyfikowany cyberprzestępca włamał się do powszechnie używanej aplikacji w Pakistanie, co doprowadziło do dystrybucji ShadowPad, następcy backdoora PlugX powiązanego z chińskimi grupami hakerskimi.
Cele dotknięte tym cyberatakiem obejmują podmiot rządowy, bank sektora publicznego oraz dostawcę usług telekomunikacyjnych w Pakistanie. Według firmy Trend Micro do infekcji doszło między lutym a wrześniem 2022 roku.
Trend Micro sugeruje, że ten incydent może być wynikiem ataku na łańcuch dostaw, w którym legalne oprogramowanie używane przez atakowane podmioty jest modyfikowane w celu wdrożenia złośliwego oprogramowania zdolnego do gromadzenia poufnych informacji z zaatakowanych systemów.
Atak obejmował złośliwy instalator E-Office, oprogramowania opracowanego przez pakistańską Narodową Radę Technologii Informatycznych (NITB) w celu ułatwienia operacji bez papieru w departamentach rządowych.
Wektor ataku wciąż nieznany
Dokładna metoda użyta do dostarczenia zaatakowanego instalatora E-Office do ofiar jest obecnie nieznana. Jednak jak dotąd nie ma dowodów sugerujących, że środowisko konstrukcyjne zaangażowanej pakistańskiej agencji rządowej zostało naruszone.
Rodzi to prawdopodobieństwo, że cyberprzestępca uzyskał legalny instalator i zmodyfikował go tak, aby zawierał złośliwe oprogramowanie. Prawdopodobnie zachęcały ofiary do uruchamiania wersji z trojanami za pomocą taktyk socjotechnicznych.
W ramach ataku do oryginalnego instalatora MSI zostały dodane trzy pliki: Telerik.Windows.Data.Validation.dll, mscoree.dll i mscoree.dll.dat. Wśród nich Telerik.Windows.Data.Validation.dll to prawidłowy plik applaunch.exe podpisany przez Microsoft, podatny na boczne ładowanie DLL. Pozwala to na załadowanie pliku mscoree.dll, który z kolei ładuje mscoree.dll.dat, ładunek przenoszący złośliwe oprogramowanie ShadowPad.
Trend Micro zauważa, że techniki zaciemniania wykorzystywane do ukrywania biblioteki DLL i końcowego etapu deszyfrowania szkodliwego oprogramowania stanowią ewolucję metod ujawnionych wcześniej przez firmę Positive Technologies w styczniu 2021 r., powiązaną z grupą Winnti (znaną również jako APT41), zaangażowaną w chińskie cyberszpiegostwo kampanie.