Egy korábban a hírhedt ShadowPad távoli hozzáférésű trójaihoz (RAT) társult fenyegetéscsoportot figyeltek meg, amely népszerű szoftvercsomagok régi és elavult verzióit használta fel kártevők betöltésére Ázsiában több célzott kormányzati és védelmi szervezethez tartozó rendszerekre.
A legális szoftverek elavult verzióinak használatának oka az, hogy ezek lehetővé teszik a támadók számára, hogy egy jól ismert módszert, az úgynevezett dynamic link library (DLL) oldalbetöltést használjanak rosszindulatú rakományaik célrendszeren való végrehajtására. Ugyanezen termékek legtöbb jelenlegi verziója véd a támadási vektor ellen, amely alapvetően azt jelenti, hogy az ellenfelek egy rosszindulatú DLL-fájlt legitimnek álcáznak, és egy olyan könyvtárba helyezik, ahol az alkalmazás automatikusan betölti és futtatja a fájlt.
A Broadcom Software Symantec Threat Hunter csapatának kutatói megfigyelték a ShadowPad-kapcsolódó fenyegetett csoport, amely a taktikát egy kiberkémkedési kampányban alkalmazza. A csoport célpontjai eddig egy miniszterelnöki hivatalt, a pénzügyi szektorhoz kötődő kormányzati szervezeteket, a kormány tulajdonában lévő védelmi és repülőgépipari cégeket, valamint állami távközlési, informatikai és médiavállalatokat tartalmaztak. A biztonsági szolgáltató elemzése kimutatta, hogy a kampány legalább 2021 eleje óta tart, és az intelligencia volt az elsődleges fókuszban.
Egy jól ismert kibertámadási taktika, de sikeres
"A ... haszna legitim alkalmazások a DLL oldalbetöltésének megkönnyítésére úgy tűnik, hogy a régióban működő kémkedési szereplők körében növekvő tendencia tapasztalható” – mondta a Symantec egy e heti jelentésében. Ez vonzó taktika, mivel a rosszindulatú programok elleni eszközök gyakran nem észlelik a rosszindulatú tevékenységet, mivel a támadók régi alkalmazásokat használtak oldalsó betöltésre.
„A pályázatok korától eltekintve a másik közös jellemző, hogy mindegyik viszonylag jól ismert név volt, így ártalmatlannak tűnhet.” – mondja Alan Neville, a Symantec fenyegetésvadász csapatának fenyegetés-intelligencia elemzője.
A Symantec szerint az a tény, hogy a jelenlegi ázsiai kampány mögött álló csoport ezt a taktikát alkalmazza annak ellenére, hogy jól értik.
Neville szerint cége a közelmúltban nem észlelte, hogy a fenyegetés szereplői ezt a taktikát alkalmazták az Egyesült Államokban vagy máshol. „A technikát leginkább az ázsiai szervezetekre összpontosító támadók használják” – teszi hozzá.
Neville szerint a legutóbbi kampányban a legtöbb támadásban a fenyegetések szereplői a legális PsExec Windows segédprogramot használták programok végrehajtása távoli rendszereken az oldalbetöltés végrehajtásához és a rosszindulatú programok telepítéséhez. A támadók minden esetben már korábban feltörték azokat a rendszereket, amelyekre a régi, legális alkalmazásokat telepítették.
„[A programokat] minden olyan feltört számítógépre telepítették, amelyen a támadók rosszindulatú programokat akartak futtatni. Egyes esetekben több számítógép is lehet ugyanazon az áldozathálózaton” – mondja Neville. Más esetekben a Symantec azt is megfigyelte, hogy több legális alkalmazást telepítettek egyetlen gépre a rosszindulatú programjuk betöltéséhez – teszi hozzá.
„Számos szoftvert használtak, beleértve a biztonsági szoftvereket, a grafikus szoftvereket és a webböngészőket” – jegyzi meg. Egyes esetekben a Symantec kutatói azt is megfigyelték, hogy a támadó a régi Windows XP operációs rendszer legitim rendszerfájljait használta a támadás engedélyezésére.
Logdatter, rosszindulatú rakományok tartománya
Az egyik rosszindulatú rakomány a Logdatter névre keresztelt új információlopó, amely többek között lehetővé teszi a támadók számára billentyűleütések naplózását, képernyőképek készítését, SQL-adatbázisok lekérdezését, tetszőleges kód beszúrását és fájlok letöltését. A fenyegetés szereplője ázsiai kampányában használt egyéb hasznos terhek közé tartozik egy PlugX-alapú trójai, két Trochilus és Quasar névre keresztelt RAT, valamint számos legitim kettős felhasználású eszköz. Ezek közé tartozik a Ladon, egy penetrációs tesztelési keretrendszer, az FScan és az NBTscan az áldozati környezetek vizsgálatához.
Neville szerint a Symantec nem tudta biztosan meghatározni, hogy a fenyegetés szereplői hogyan juthatnak hozzá a célkörnyezethez. Az adathalászat és a nem javított rendszerek lehetőségeinek megcélzása azonban valószínű vektorok.
„Alternatív megoldásként a szoftverellátási lánc támadása nem tartozik ezeknek a támadóknak a hatáskörébe, mivel a ShadowPad-hez hozzáféréssel rendelkező szereplők ismert, hogy ellátási lánc támadásokat indított a múltban – jegyzi meg Neville. Miután a fenyegetés szereplői hozzáfértek egy környezethez, hajlamosak egy sor vizsgálati eszközt használni, például az NBTScan-t, a TCPing-et, a FastReverseProxy-t és az Fscan-t, hogy más célzott rendszereket keressenek.
Az ilyen típusú támadások elleni védekezés érdekében a szervezeteknek be kell vezetniük a hálózatukon futó szoftverek ellenőrzésére és ellenőrzésére szolgáló mechanizmusokat. Ezenkívül fontolóra kell venniük egy olyan irányelv megvalósítását, amely csak az engedélyezési listán szereplő alkalmazások futtatását engedélyezi a környezetben, és előnyben kell részesíteni a nyilvános alkalmazások sebezhetőségeinek javítását.
„Azt is javasoljuk, hogy tegyen azonnali lépéseket azon gépek megtisztítása érdekében, amelyek a kompromisszumra utaló jeleket mutatnak” – tanácsolja Neville, „… beleértve a kerékpáros bizonyítványokat és a saját szervezete belső folyamatának követését az alapos vizsgálat elvégzése érdekében.”
