針對巴基斯坦目標部署的 ShadowPad 惡意軟件
一名身份不明的威脅行為者破壞了巴基斯坦廣泛使用的應用程序,導致 ShadowPad 傳播,ShadowPad 是與中國黑客組織相關的 PlugX 後門的後門。
受此次網絡攻擊影響的目標包括巴基斯坦的一家政府實體、一家公共部門銀行和一家電信提供商。據趨勢科技稱,感染髮生在 2022 年 2 月至 9 月期間。
趨勢科技認為,此事件可能是供應鏈攻擊的結果,其中目標實體使用的合法軟件應用程序被篡改,以部署能夠從受損系統收集敏感信息的惡意軟件。
這次攻擊涉及 E-Office 的惡意安裝程序,E-Office 是巴基斯坦國家信息技術委員會 (NITB) 開發的軟件,旨在促進政府部門的無紙化操作。
攻擊向量仍未知
目前尚不清楚將受感染的 E-Office 安裝程序交付給受害者的確切方法。然而,到目前為止,沒有證據表明所涉及的巴基斯坦政府機構的構建環境已受到損害。
這增加了威脅行為者獲得合法安裝程序並將其修改為包含惡意軟件的可能性。他們可能通過社會工程策略引誘受害者運行木馬版本。
作為攻擊的一部分,三個文件被添加到正版 MSI 安裝程序中:Telerik.Windows.Data.Validation.dll、mscoree.dll 和 mscoree.dll.dat。其中,Telerik.Windows.Data.Validation.dll是由微軟簽名的有效applaunch.exe文件,容易受到DLL旁加載的影響。這允許加載 mscoree.dll,進而加載 mscoree.dll.dat,即攜帶 ShadowPad 惡意軟件的有效負載。
趨勢科技指出,用於隱藏 DLL 和最終階段惡意軟件解密的混淆技術是 Positive Technologies 先前於 2021 年 1 月曝光的方法的演變,該技術與從事中國網絡間諜活動的 Winnti 組織(也稱為 APT41)有關活動。