بازگشت بازیگران تهدید ShadowPad با اعتصاب های جدید دولت، ابزارهای به روز شده

یک گروه تهدید که قبلاً با تروجان دسترسی از راه دور بدنام ShadowPad (RAT) مرتبط بود، با استفاده از نسخه‌های قدیمی و قدیمی بسته‌های نرم‌افزاری محبوب برای بارگذاری بدافزار در سیستم‌های متعلق به چندین سازمان هدف دولتی و دفاعی در آسیا مشاهده شده است.

دلیل استفاده از نسخه‌های قدیمی نرم‌افزار قانونی این است که آنها به مهاجمان اجازه می‌دهند از روش معروفی به نام کتابخانه پیوند پویا (DLL) بارگذاری جانبی برای اجرای بارهای مخرب خود در یک سیستم هدف استفاده کنند. اکثر نسخه‌های فعلی همان محصولات در برابر بردار حمله محافظت می‌کنند، که اساساً متضمن این است که دشمنان یک فایل DLL مخرب را به عنوان یک فایل قانونی پنهان می‌کنند و آن را در فهرستی قرار می‌دهند که برنامه به طور خودکار فایل را بارگیری و اجرا کند.

محققان از تیم Broadcom's Software's Symantec Threat Hunter این موضوع را مشاهده کردند سایه بانگروه تهدید مرتبط با استفاده از تاکتیک در کمپین جاسوسی سایبری. اهداف این گروه تاکنون شامل دفتر نخست وزیری، سازمان های دولتی مرتبط با بخش مالی، شرکت های دفاعی و هوافضای دولتی و شرکت های مخابراتی، فناوری اطلاعات و رسانه های دولتی بوده است. تجزیه و تحلیل فروشنده امنیتی نشان داد که این کمپین حداقل از اوایل سال 2021 ادامه دارد و تمرکز اصلی آن اطلاعات است.

یک تاکتیک حمله سایبری شناخته شده، اما موفق

"استفاده از برنامه های کاربردی قانونی برای تسهیل بارگذاری جانبی DLL سیمانتک در گزارشی در این هفته گفت: به نظر می رسد روند رو به رشدی در میان عوامل جاسوسی فعال در منطقه باشد. این یک تاکتیک جذاب است زیرا ابزارهای ضد بدافزار اغلب فعالیت مخرب را شناسایی نمی‌کنند زیرا مهاجمان از برنامه‌های قدیمی برای بارگذاری جانبی استفاده می‌کنند.

"به غیر از سن برنامه ها، وجه مشترک دیگر این است که همه آنها نام های نسبتاً شناخته شده ای بودند و بنابراین ممکن است بی ضرر به نظر برسند." آلن نویل، تحلیلگر اطلاعات تهدید در تیم شکارچی تهدید سیمانتک می‌گوید.

سیمانتک گفت، این واقعیت که گروهی که پشت کمپین کنونی در آسیا قرار دارد، از این تاکتیک استفاده می کند، علیرغم اینکه به خوبی درک شده است، نشان می دهد که این تکنیک تا حدی موفقیت را به همراه دارد.

نویل می گوید که شرکت او اخیراً مشاهده نکرده است که بازیگران تهدید از این تاکتیک در ایالات متحده یا جاهای دیگر استفاده کنند. او می افزاید: «این تکنیک بیشتر توسط مهاجمانی که بر سازمان های آسیایی تمرکز دارند استفاده می شود.

نویل می گوید که در بیشتر حملات در آخرین کمپین، عوامل تهدید از ابزار قانونی Windows PsExec برای اجرای برنامه ها در سیستم های راه دور برای انجام بارگذاری جانبی و استقرار بدافزار. در هر مورد، مهاجمان قبلاً سیستم‌هایی را که برنامه‌های قدیمی و قانونی را روی آن نصب کرده بودند، به خطر انداخته بودند.

«[برنامه‌ها] روی هر رایانه آسیب‌دیده‌ای که مهاجمان می‌خواستند بدافزار را روی آن‌ها اجرا کنند، نصب شدند. نویل می‌گوید در برخی موارد، این می‌تواند چندین رایانه در یک شبکه قربانی باشد. او می افزاید: در موارد دیگر، سیمانتک همچنین مشاهده کرد که آنها چندین برنامه قانونی را روی یک دستگاه برای بارگذاری بدافزار خود به کار می گیرند.

او خاطرنشان می کند: «آنها از مجموعه ای از نرم افزارها، از جمله نرم افزارهای امنیتی، نرم افزارهای گرافیکی، و مرورگرهای وب استفاده می کردند. در برخی موارد، محققان سیمانتک همچنین مهاجم را با استفاده از فایل‌های سیستم قانونی از سیستم عامل Windows XP قدیمی برای فعال کردن حمله مشاهده کردند.

Logdatter، محدوده بارهای مخرب

یکی از بارهای مخرب یک دزد اطلاعات جدید به نام Logdatter است که به مهاجمان اجازه می‌دهد تا از جمله مواردی که ضربه‌های کلیدی را وارد می‌کنند، از صفحه‌نمایش عکس بگیرند، از پایگاه‌های داده SQL پرس و جو کنند، کد دلخواه را تزریق کنند و فایل‌ها را دانلود کنند. سایر محموله‌هایی که این عامل تهدید در کمپین آسیایی خود استفاده می‌کند شامل یک تروجان مبتنی بر PlugX، دو RAT با نام‌های Trochilus و Quasar و چندین ابزار قانونی با کاربرد دوگانه است. اینها عبارتند از Ladon، چارچوب تست نفوذ، FScan و NBTscan برای اسکن محیط های قربانی.

نویل می‌گوید سیمانتک نمی‌تواند با قطعیت تعیین کند که چگونه عوامل تهدید ممکن است به یک محیط هدف دسترسی اولیه پیدا کنند. اما فیشینگ و فرصت‌یابی سیستم‌های وصله‌نشده احتمالاً بردارهایی هستند.

از طرف دیگر، حمله به زنجیره تامین نرم‌افزار خارج از اختیارات این مهاجمان نیست، زیرا بازیگرانی که به ShadowPad دسترسی دارند. شناخته شده است که حملات زنجیره تامین را انجام داده است در گذشته، نویل اشاره می کند. هنگامی که عوامل تهدید به یک محیط دسترسی پیدا کردند، تمایل دارند از طیف وسیعی از ابزارهای اسکن مانند NBTScan، TCPing، FastReverseProxy و Fscan برای جستجوی سیستم های دیگر برای هدف گیری استفاده کنند.

برای دفاع در برابر این نوع حملات، سازمان‌ها باید مکانیسم‌هایی را برای ممیزی و کنترل نرم‌افزارهایی که ممکن است در شبکه‌شان اجرا می‌شود، پیاده‌سازی کنند. آنها همچنین باید اجرای سیاستی را در نظر بگیرند که فقط به برنامه‌های لیست سفید اجازه می‌دهد در محیط اجرا شوند و اصلاح آسیب‌پذیری‌ها در برنامه‌های عمومی را در اولویت قرار دهند. 

نویل توصیه می‌کند: «ما همچنین توصیه می‌کنیم برای تمیز کردن ماشین‌هایی که هر گونه نشانه‌ای از سازش را نشان می‌دهند، اقدام فوری انجام دهید، «... از جمله مدارک دوچرخه سواری و پیگیری فرآیند داخلی سازمان خود برای انجام یک بررسی کامل».