Οι ηθοποιοί του ShadowPad Threat επιστρέφουν με νέες κυβερνητικές απεργίες, ενημερωμένα εργαλεία

Μια ομάδα απειλών που είχε συσχετιστεί προηγουμένως με το περιβόητο ShadowPad απομακρυσμένης πρόσβασης Trojan (RAT) έχει παρατηρηθεί χρησιμοποιώντας παλιές και ξεπερασμένες εκδόσεις δημοφιλών πακέτων λογισμικού για τη φόρτωση κακόβουλου λογισμικού σε συστήματα που ανήκουν σε πολλούς κυβερνητικούς και αμυντικούς οργανισμούς-στόχους στην Ασία.

Ο λόγος για τη χρήση παρωχημένων εκδόσεων νόμιμου λογισμικού είναι επειδή επιτρέπουν στους εισβολείς να χρησιμοποιήσουν μια πολύ γνωστή μέθοδο που ονομάζεται πλευρική φόρτωση βιβλιοθήκης δυναμικής σύνδεσης (DLL) για να εκτελέσουν τα κακόβουλα ωφέλιμα φορτία τους σε ένα σύστημα στόχο. Οι περισσότερες τρέχουσες εκδόσεις των ίδιων προϊόντων προστατεύουν από το διάνυσμα επίθεσης, το οποίο βασικά περιλαμβάνει τους αντιπάλους να συγκαλύπτουν ένα κακόβουλο αρχείο DLL ως νόμιμο και να το τοποθετούν σε έναν κατάλογο όπου η εφαρμογή θα φορτώνει και θα εκτελεί αυτόματα το αρχείο.

Ερευνητές από την ομάδα Symantec Threat Hunter της Broadcom's Software το παρατήρησαν ShadowPad-σχετική ομάδα απειλών που χρησιμοποιεί την τακτική σε μια εκστρατεία κυβερνοκατασκοπείας. Οι στόχοι του ομίλου περιλάμβαναν μέχρι στιγμής ένα γραφείο πρωθυπουργού, κυβερνητικούς οργανισμούς που συνδέονται με τον χρηματοοικονομικό τομέα, κρατικές εταιρείες άμυνας και αεροδιαστημικής και κρατικές εταιρείες τηλεπικοινωνιών, πληροφορικής και μέσων ενημέρωσης. Η ανάλυση του προμηθευτή ασφαλείας έδειξε ότι η εκστρατεία συνεχίζεται τουλάχιστον από τις αρχές του 2021, με την ευφυΐα να είναι η κύρια εστίαση.

Μια πολύ γνωστή τακτική κυβερνοεπίθεσης, αλλά επιτυχημένη

"Η χρήση του νόμιμες εφαρμογές για τη διευκόλυνση της παράπλευρης φόρτωσης DLL φαίνεται να είναι μια αυξανόμενη τάση μεταξύ των παραγόντων κατασκοπείας που δραστηριοποιούνται στην περιοχή», ανέφερε η Symantec σε έκθεσή της αυτή την εβδομάδα. Είναι μια ελκυστική τακτική επειδή τα εργαλεία κατά του κακόβουλου λογισμικού συχνά δεν εντοπίζουν την κακόβουλη δραστηριότητα επειδή οι εισβολείς χρησιμοποίησαν παλιές εφαρμογές για πλευρική φόρτωση.

"Εκτός από την ηλικία των αιτήσεων, το άλλο κοινό στοιχείο είναι ότι ήταν όλα σχετικά γνωστά ονόματα και επομένως μπορεί να φαίνονται αβλαβή." λέει ο Άλαν Νέβιλ, αναλυτής πληροφοριών απειλών στην ομάδα κυνηγών απειλών της Symantec.

Το γεγονός ότι η ομάδα πίσω από την τρέχουσα εκστρατεία στην Ασία χρησιμοποιεί την τακτική παρά το γεγονός ότι είναι καλά κατανοητή υποδηλώνει ότι η τεχνική έχει κάποια επιτυχία, είπε η Symantec.

Ο Νέβιλ λέει ότι η εταιρεία του δεν παρατήρησε πρόσφατα παράγοντες απειλών να χρησιμοποιούν την τακτική στις ΗΠΑ ή αλλού. «Η τεχνική χρησιμοποιείται κυρίως από επιτιθέμενους που εστιάζουν σε ασιατικούς οργανισμούς», προσθέτει.

Ο Neville λέει ότι στις περισσότερες από τις επιθέσεις της τελευταίας καμπάνιας, οι παράγοντες απειλών χρησιμοποίησαν το νόμιμο βοηθητικό πρόγραμμα PsExec των Windows για εκτέλεση προγραμμάτων σε απομακρυσμένα συστήματα να πραγματοποιήσει την παράπλευρη φόρτωση και να αναπτύξει κακόβουλο λογισμικό. Σε κάθε περίπτωση, οι εισβολείς είχαν ήδη υπονομεύσει τα συστήματα στα οποία εγκατέστησαν τις παλιές, νόμιμες εφαρμογές.

«[Τα προγράμματα] εγκαταστάθηκαν σε κάθε υπολογιστή που είχε παραβιαστεί, στον οποίο οι εισβολείς ήθελαν να εκτελέσουν κακόβουλο λογισμικό. Σε ορισμένες περιπτώσεις, θα μπορούσε να είναι πολλοί υπολογιστές στο ίδιο δίκτυο θυμάτων», λέει ο Neville. Σε άλλες περιπτώσεις, η Symantec παρατήρησε επίσης να αναπτύσσουν πολλαπλές νόμιμες εφαρμογές σε ένα μόνο μηχάνημα για να φορτώσουν το κακόβουλο λογισμικό τους, προσθέτει.

«Χρησιμοποιούσαν μια σειρά από λογισμικό, συμπεριλαμβανομένου λογισμικού ασφαλείας, λογισμικού γραφικών και προγραμμάτων περιήγησης Ιστού», σημειώνει. Σε ορισμένες περιπτώσεις, οι ερευνητές της Symantec παρατήρησαν επίσης τον εισβολέα χρησιμοποιώντας νόμιμα αρχεία συστήματος από το παλαιού τύπου λειτουργικό σύστημα Windows XP για να ενεργοποιήσει την επίθεση.

Logdatter, Εύρος κακόβουλων ωφέλιμων φορτίων

Ένα από τα κακόβουλα ωφέλιμα φορτία είναι ένας νέος κλέφτης πληροφοριών που ονομάζεται Logdatter, ο οποίος επιτρέπει στους εισβολείς να καταγράφουν πατήματα πλήκτρων, να λαμβάνουν στιγμιότυπα οθόνης, να αναζητούν βάσεις δεδομένων SQL, να εισάγουν αυθαίρετο κώδικα και να κατεβάζουν αρχεία, μεταξύ άλλων. Άλλα ωφέλιμα φορτία που χρησιμοποιεί ο ηθοποιός απειλών στην ασιατική του καμπάνια περιλαμβάνουν έναν Trojan που βασίζεται στο PlugX, δύο RAT με το όνομα Trochilus και Quasar και πολλά νόμιμα εργαλεία διπλής χρήσης. Αυτά περιλαμβάνουν το Ladon, ένα πλαίσιο δοκιμής διείσδυσης, το FScan και το NBTscan για σάρωση περιβαλλόντων θυμάτων.

Ο Neville λέει ότι η Symantec δεν μπόρεσε να προσδιορίσει με βεβαιότητα πώς οι παράγοντες απειλής θα μπορούσαν να αποκτήσουν αρχική πρόσβαση σε ένα περιβάλλον στόχο. Αλλά το phishing και η στόχευση ευκαιριών μη επιδιορθωμένων συστημάτων είναι πιθανοί φορείς.

«Εναλλακτικά, μια επίθεση στην αλυσίδα εφοδιασμού λογισμικού δεν είναι έξω από την αρμοδιότητα αυτών των εισβολέων, καθώς οι φορείς με πρόσβαση στο ShadowPad είναι είναι γνωστό ότι έχει εξαπολύσει επιθέσεις στην αλυσίδα εφοδιασμού στο παρελθόν», σημειώνει ο Νέβιλ. Μόλις οι φορείς απειλής αποκτήσουν πρόσβαση σε ένα περιβάλλον, έχουν την τάση να χρησιμοποιούν μια σειρά εργαλείων σάρωσης όπως NBTScan, TCPing, FastReverseProxy και Fscan για να αναζητήσουν άλλα συστήματα προς στόχευση.

Για να αμυνθούν από αυτού του είδους τις επιθέσεις, οι οργανισμοί πρέπει να εφαρμόσουν μηχανισμούς για τον έλεγχο και τον έλεγχο του λογισμικού που μπορεί να εκτελείται στο δίκτυό τους. Θα πρέπει επίσης να εξετάσουν το ενδεχόμενο να εφαρμόσουν μια πολιτική που να επιτρέπει μόνο τις εφαρμογές στη λίστα επιτρεπόμενων να εκτελούνται στο περιβάλλον και να δίνουν προτεραιότητα στην επιδιόρθωση των τρωτών σημείων σε εφαρμογές που αντιμετωπίζουν το κοινό. 

«Θα συνιστούσαμε επίσης να λάβετε άμεσα μέτρα για τον καθαρισμό μηχανημάτων που παρουσιάζουν οποιουσδήποτε δείκτες συμβιβασμού», συμβουλεύει ο Neville, «… συμπεριλαμβανομένων των διαπιστευτηρίων ποδηλασίας και να ακολουθήσετε την εσωτερική διαδικασία του οργανισμού σας για να εκτελέσετε μια ενδελεχή έρευνα».