Eine Bedrohungsgruppe, die zuvor mit dem berüchtigten ShadowPad-Fernzugriffstrojaner (RAT) in Verbindung gebracht wurde, wurde beobachtet, wie sie alte und veraltete Versionen beliebter Softwarepakete verwendet, um Malware auf Systeme zu laden, die mehreren Zielregierungs- und Verteidigungsorganisationen in Asien gehören.
Der Grund für die Verwendung veralteter Versionen legitimer Software liegt darin, dass sie es den Angreifern ermöglichen, eine bekannte Methode namens Dynamic Link Library (DLL) Sideloading zu verwenden, um ihre bösartigen Payloads auf einem Zielsystem auszuführen. Die meisten aktuellen Versionen derselben Produkte schützen vor dem Angriffsvektor, der im Grunde darin besteht, dass Angreifer eine bösartige DLL-Datei als legitime tarnen und sie in einem Verzeichnis ablegen, in dem die Anwendung die Datei automatisch lädt und ausführt.
Forscher des Symantec Threat Hunter-Teams von Broadcom Software haben dies beobachtet Schattenpolster-verwandte Bedrohungsgruppe, die die Taktik in einer Cyberspionagekampagne anwendet. Zu den Zielen der Gruppe gehörten bisher das Büro des Premierministers, mit dem Finanzsektor verbundene Regierungsorganisationen, staatliche Verteidigungs- und Luft- und Raumfahrtunternehmen sowie staatliche Telekommunikations-, IT- und Medienunternehmen. Die Analyse des Sicherheitsanbieters ergab, dass die Kampagne mindestens seit Anfang 2021 läuft, wobei der Schwerpunkt auf Informationen liegt.
Eine bekannte Cyberangriffstaktik, aber erfolgreich
"Die Verwendung von legitime Anwendungen, um das seitliche Laden von DLLs zu erleichtern scheint ein wachsender Trend unter Spionageakteuren zu sein, die in der Region operieren“, sagte Symantec diese Woche in einem Bericht. Dies ist eine attraktive Taktik, da Anti-Malware-Tools die böswilligen Aktivitäten häufig nicht erkennen, da Angreifer alte Anwendungen zum Laden von Seiten verwendet haben.
„Abgesehen vom Alter der Bewerbungen besteht die andere Gemeinsamkeit darin, dass es sich um relativ bekannte Namen handelte und daher harmlos erscheinen können.“ sagt Alan Neville, Threat Intelligence Analyst beim Threat Hunter Team von Symantec.
Die Tatsache, dass die Gruppe hinter der aktuellen Kampagne in Asien die Taktik anwendet, obwohl sie gut verstanden wird, deutet darauf hin, dass die Technik einen gewissen Erfolg bringt, sagte Symantec.
Neville sagt, sein Unternehmen habe in letzter Zeit nicht beobachtet, dass Bedrohungsakteure diese Taktik in den USA oder anderswo anwenden. „Die Technik wird hauptsächlich von Angreifern verwendet, die sich auf asiatische Organisationen konzentrieren“, fügt er hinzu.
Neville sagt, dass Bedrohungsakteure bei den meisten Angriffen in der letzten Kampagne das legitime Windows-Dienstprogramm PsExec verwendet haben Ausführen von Programmen auf entfernten Systemen um das Sideloading durchzuführen und Malware einzusetzen. In jedem Fall hatten die Angreifer zuvor bereits die Systeme kompromittiert, auf denen sie die alten, legitimen Apps installierten.
„[Die Programme] wurden auf jedem kompromittierten Computer installiert, auf dem die Angreifer Malware ausführen wollten. In manchen Fällen könnte es sich um mehrere Computer im selben Opfernetzwerk handeln“, sagt Neville. In anderen Fällen habe Symantec auch beobachtet, dass sie mehrere legitime Anwendungen auf einem einzigen Computer installierten, um ihre Malware zu laden, fügt er hinzu.
„Sie verwendeten eine ganze Reihe von Software, darunter Sicherheitssoftware, Grafiksoftware und Webbrowser“, bemerkt er. In einigen Fällen beobachteten Symantec-Forscher auch, dass der Angreifer legitime Systemdateien des älteren Windows XP-Betriebssystems verwendete, um den Angriff zu ermöglichen.
Logdatter, eine Reihe bösartiger Payloads
Eine der bösartigen Payloads ist ein neuer Informationsdieb namens Logdatter, der es den Angreifern unter anderem ermöglicht, Tastenanschläge zu protokollieren, Screenshots zu machen, SQL-Datenbanken abzufragen, beliebigen Code einzuschleusen und Dateien herunterzuladen. Zu den weiteren Payloads, die der Bedrohungsakteur in seiner Asienkampagne verwendet, gehören ein PlugX-basierter Trojaner, zwei RATs namens Trochilus und Quasar sowie mehrere legitime Tools mit doppeltem Verwendungszweck. Dazu gehören Ladon, ein Framework für Penetrationstests, FScan und NBTscan zum Scannen von Opferumgebungen.
Laut Neville war Symantec nicht in der Lage, mit Sicherheit festzustellen, wie die Bedrohungsakteure möglicherweise anfänglichen Zugriff auf eine Zielumgebung erhalten. Aber Phishing und Opportunity-Targeting von ungepatchten Systemen sind wahrscheinliche Vektoren.
„Alternativ liegt ein Angriff auf die Softwarelieferkette nicht außerhalb des Aufgabenbereichs dieser Angreifer, wie es Akteure mit Zugriff auf ShadowPad sind bekannt, Angriffe auf die Lieferkette gestartet zu haben in der Vergangenheit“, bemerkt Neville. Nachdem sich die Angreifer Zugang zu einer Umgebung verschafft haben, verwenden sie in der Regel eine Reihe von Scan-Tools wie NBTScan, TCPing, FastReverseProxy und Fscan, um nach anderen Zielsystemen zu suchen.
Um sich gegen diese Art von Angriffen zu verteidigen, müssen Organisationen Mechanismen implementieren, um zu prüfen und zu kontrollieren, welche Software möglicherweise in ihrem Netzwerk ausgeführt wird. Sie sollten auch erwägen, eine Richtlinie zu implementieren, nach der nur Anwendungen auf der Whitelist in der Umgebung ausgeführt werden dürfen, und das Patchen von Schwachstellen in öffentlich zugänglichen Anwendungen priorisieren.
„Wir empfehlen außerdem, sofort Maßnahmen zu ergreifen, um Maschinen zu reinigen, die Anzeichen einer Gefährdung aufweisen“, rät Neville, „… einschließlich Radfahrnachweise und das Befolgen des internen Prozesses Ihrer eigenen Organisation, um eine gründliche Untersuchung durchzuführen.“
