Malware ShadowPad implantado contra alvos paquistaneses
Um agente de ameaça não identificado comprometeu um aplicativo amplamente usado no Paquistão, resultando na distribuição do ShadowPad, um sucessor do backdoor PlugX associado a grupos de hackers chineses.
Os alvos afetados por este ataque cibernético incluem uma entidade governamental, um banco do setor público e um provedor de telecomunicações no Paquistão. Segundo a Trend Micro, as infecções ocorreram entre fevereiro e setembro de 2022.
A Trend Micro sugere que esse incidente pode ser resultado de um ataque na cadeia de suprimentos, em que um aplicativo de software legítimo usado pelas entidades visadas é adulterado para implantar malware capaz de coletar informações confidenciais de sistemas comprometidos.
O ataque envolveu um instalador malicioso do E-Office, um software desenvolvido pelo Conselho Nacional de Tecnologia da Informação (NITB) do Paquistão para facilitar operações sem papel em departamentos governamentais.
Vetor de ataque ainda desconhecido
O método exato usado para entregar o instalador comprometido do E-Office às vítimas é atualmente desconhecido. No entanto, não há evidências até o momento que sugiram que o ambiente de construção da agência governamental paquistanesa envolvida tenha sido comprometido.
Isso aumenta a possibilidade de que o agente da ameaça tenha obtido o instalador legítimo e o modificado para incluir malware. Eles provavelmente induziram as vítimas a executar a versão trojanizada por meio de táticas de engenharia social.
Como parte do ataque, três arquivos foram adicionados ao instalador MSI original: Telerik.Windows.Data.Validation.dll, mscoree.dll e mscoree.dll.dat. Entre eles, Telerik.Windows.Data.Validation.dll é um arquivo applaunch.exe válido assinado pela Microsoft, suscetível ao carregamento lateral de DLL. Isso permite o carregamento de mscoree.dll, que por sua vez carrega mscoree.dll.dat, a carga útil que carrega o malware ShadowPad.
A Trend Micro observa que as técnicas de ofuscação usadas para ocultar a DLL e a descriptografia do malware em estágio final são uma evolução dos métodos anteriormente expostos pela Positive Technologies em janeiro de 2021, ligada ao grupo Winnti (também conhecido como APT41), envolvido em espionagem cibernética chinesa campanhas.