En trusselgruppe, der tidligere var forbundet med den berygtede ShadowPad remote access Trojan (RAT) er blevet observeret ved at bruge gamle og forældede versioner af populære softwarepakker til at indlæse malware på systemer, der tilhører flere målstyrede myndigheder og forsvarsorganisationer i Asien.
Årsagen til at bruge forældede versioner af legitim software er, fordi de tillader angriberne at bruge en velkendt metode kaldet dynamic link library (DLL) sideloading til at udføre deres ondsindede nyttelast på et målsystem. De fleste nuværende versioner af de samme produkter beskytter mod angrebsvektoren, som grundlæggende involverer modstandere, der skjuler en ondsindet DLL-fil som en legitim fil og placerer den i en mappe, hvor applikationen automatisk vil indlæse og køre filen.
Forskere fra Broadcoms Softwares Symantec Threat Hunter-hold observerede ShadowPad-relateret trusselsgruppe, der bruger taktikken i en cyberspionagekampagne. Gruppens mål har hidtil omfattet et statsministerkontor, statslige organisationer med tilknytning til finanssektoren, statsejede forsvars- og rumfartsvirksomheder samt statsejede tele-, IT- og medievirksomheder. Sikkerhedsleverandørens analyse viste, at kampagnen har været i gang siden i det mindste begyndelsen af 2021, hvor intelligens er det primære fokus.
En velkendt cyberangrebstaktik, men vellykket
"Brugen af legitime applikationer for at lette DLL-sideindlæsning ser ud til at være en voksende tendens blandt spionageaktører, der opererer i regionen,” sagde Symantec i en rapport i denne uge. Det er en attraktiv taktik, fordi anti-malware-værktøjer ofte ikke opdager den ondsindede aktivitet, fordi angribere brugte gamle programmer til sideindlæsning.
"Bortset fra ansøgningernes alder er det andet fællestræk, at de alle var relativt velkendte navne og derfor kan virke ufarlige." siger Alan Neville, trusselsefterretningsanalytiker hos Symantecs trusselsjægerhold.
Det faktum, at gruppen bag den nuværende kampagne i Asien bruger taktikken på trods af, at den er velforstået, tyder på, at teknikken giver en vis succes, sagde Symantec.
Neville siger, at hans firma ikke for nylig har observeret trusselsaktører bruge taktikken i USA eller andre steder. "Teknikken bruges mest af angribere, der fokuserer på asiatiske organisationer," tilføjer han.
Neville siger, at i de fleste af angrebene i den seneste kampagne brugte trusselsaktører det legitime PsExec Windows-værktøj til afvikling af programmer på fjernsystemer til at udføre sideindlæsningen og implementere malware. I hvert tilfælde havde angriberne allerede tidligere kompromitteret de systemer, som de installerede de gamle, legitime apps på.
"[Programmerne] blev installeret på hver kompromitteret computer, som angriberne ønskede at køre malware på. I nogle tilfælde kan det være flere computere på det samme offernetværk,” siger Neville. I andre tilfælde observerede Symantec også, at de implementerede flere legitime applikationer på en enkelt maskine for at indlæse deres malware, tilføjer han.
"De brugte en hel række af software, herunder sikkerhedssoftware, grafiksoftware og webbrowsere," bemærker han. I nogle tilfælde observerede Symantec-forskere også, at angriberen brugte legitime systemfiler fra det ældre Windows XP OS for at aktivere angrebet.
Logdatter, række af ondsindede nyttelaster
En af de ondsindede nyttelaster er en ny informationstyver kaldet Logdatter, som blandt andet giver angriberne mulighed for at logge tastetryk, tage skærmbilleder, forespørge i SQL-databaser, injicere vilkårlig kode og downloade filer. Andre nyttelaster, som trusselsaktøren bruger i sin asiatiske kampagne, inkluderer en PlugX-baseret trojansk hest, to RAT'er kaldet Trochilus og Quasar og flere legitime dual-use værktøjer. Disse omfatter Ladon, en penetrationstestramme, FScan og NBTscan til scanning af offermiljøer.
Neville siger, at Symantec ikke har været i stand til med sikkerhed at fastslå, hvordan trusselsaktørerne kan få indledende adgang til et målmiljø. Men phishing og mulighedsmålretning af upatchede systemer er sandsynligvis vektorer.
"Alternativt er et softwareforsyningskædeangreb ikke uden for disse angriberes kompetence, da aktører med adgang til ShadowPad er kendt for at have iværksat forsyningskædeangreb i fortiden,” bemærker Neville. Når trusselsaktørerne har fået adgang til et miljø, har de haft en tendens til at bruge en række scanningsværktøjer såsom NBTScan, TCPing, FastReverseProxy og Fscan til at lede efter andre systemer at målrette mod.
For at forsvare sig mod disse former for angreb skal organisationer implementere mekanismer til revision og kontrol af, hvilken software der kan køre på deres netværk. De bør også overveje at implementere en politik med kun at tillade hvidlistede applikationer at køre i miljøet og prioritere patching af sårbarheder i offentlige applikationer.
"Vi vil også anbefale at tage øjeblikkelige foranstaltninger for at rense maskiner, der udviser indikatorer på kompromis," råder Neville, "... inklusive cykellegitimation og at følge din egen organisations interne proces for at udføre en grundig undersøgelse."
