Gli attori delle minacce di ShadowPad tornano con nuovi scioperi del governo e strumenti aggiornati

È stato osservato che un gruppo di minacce precedentemente associato al famigerato Trojan di accesso remoto (RAT) ShadowPad utilizzava versioni vecchie e obsolete di pacchetti software popolari per caricare malware su sistemi appartenenti a più organizzazioni governative e di difesa mirate in Asia.

Il motivo per cui si utilizzano versioni obsolete di software legittimo è perché consentono agli aggressori di utilizzare un metodo noto chiamato sideloading della libreria di collegamento dinamico (DLL) per eseguire i propri payload dannosi su un sistema di destinazione. La maggior parte delle versioni attuali degli stessi prodotti protegge dal vettore di attacco, che fondamentalmente coinvolge gli avversari che mascherano un file DLL dannoso come legittimo e lo inseriscono in una directory in cui l'applicazione caricherà ed eseguirà automaticamente il file.

I ricercatori del team Symantec Threat Hunter di Broadcom Software hanno osservato il fenomeno Shadow Padgruppo di minacce correlato all'utilizzo della tattica in una campagna di spionaggio informatico. Gli obiettivi del gruppo finora hanno incluso l’ufficio del primo ministro, organizzazioni governative legate al settore finanziario, aziende di difesa e aerospaziali di proprietà statale e società di telecomunicazioni, IT e media di proprietà statale. L’analisi del fornitore di sicurezza ha mostrato che la campagna è in corso almeno dall’inizio del 2021, con l’obiettivo principale dell’intelligence.

Una tattica di attacco informatico ben nota, ma di successo

"L'uso di applicazioni legittime per facilitare il sideloading DLL sembra essere una tendenza in crescita tra gli attori dello spionaggio che operano nella regione”, ha affermato Symantec in un rapporto di questa settimana. È una tattica interessante perché gli strumenti anti-malware spesso non individuano l'attività dannosa perché gli aggressori hanno utilizzato vecchie applicazioni per il caricamento laterale.

"A parte l'età delle domande, l'altro punto in comune è che erano tutti nomi relativamente noti e quindi potrebbero sembrare innocui." afferma Alan Neville, analista di intelligence sulle minacce del team di cacciatori di minacce di Symantec.

Il fatto che il gruppo dietro l'attuale campagna in Asia stia utilizzando la tattica nonostante sia ben compresa suggerisce che la tecnica sta ottenendo un certo successo, ha affermato Symantec.

Neville afferma che la sua azienda non ha osservato di recente che gli autori delle minacce utilizzino questa tattica negli Stati Uniti o altrove. "La tecnica viene utilizzata principalmente dagli aggressori che si concentrano sulle organizzazioni asiatiche", aggiunge.

Neville afferma che nella maggior parte degli attacchi dell'ultima campagna, gli autori delle minacce hanno utilizzato l'utilità legittima PsExec di Windows eseguire programmi su sistemi remoti per eseguire il sideload e distribuire malware. In ogni caso, gli aggressori avevano già compromesso in precedenza i sistemi su cui erano installate le vecchie app legittime.

“[I programmi] sono stati installati su ogni computer compromesso su cui gli aggressori volevano eseguire malware. In alcuni casi, potrebbero essere più computer sulla stessa rete vittima", afferma Neville. In altri casi, Symantec li ha anche osservati mentre distribuivano più applicazioni legittime su un singolo computer per caricare il loro malware, aggiunge.

"Hanno utilizzato una vasta gamma di software, inclusi software di sicurezza, software di grafica e browser Web", osserva. In alcuni casi, i ricercatori Symantec hanno anche osservato che l'aggressore utilizzava file di sistema legittimi del sistema operativo legacy Windows XP per consentire l'attacco.

Logdatter, Gamma di payload dannosi

Uno dei payload dannosi è un nuovo ladro di informazioni denominato Logdatter, che consente agli aggressori di registrare sequenze di tasti, acquisire schermate, interrogare database SQL, iniettare codice arbitrario e scaricare file, tra le altre cose. Altri payload utilizzati dall'autore della minaccia nella sua campagna asiatica includono un trojan basato su PlugX, due RAT soprannominati Trochilus e Quasar e diversi strumenti legittimi a duplice uso. Questi includono Ladon, un framework di test di penetrazione, FScan e NBTscan per la scansione degli ambienti delle vittime.

Neville afferma che Symantec non è stata in grado di determinare con certezza in che modo gli autori delle minacce potrebbero ottenere l'accesso iniziale a un ambiente preso di mira. Ma il phishing e il targeting per opportunità di sistemi privi di patch sono probabilmente vettori.

“In alternativa, un attacco alla catena di fornitura del software non è al di fuori della portata di questi aggressori poiché gli attori con accesso a ShadowPad lo sono noto per aver lanciato attacchi alla catena di approvvigionamento in passato”, osserva Neville. Una volta che gli autori delle minacce hanno ottenuto l’accesso a un ambiente, tendono a utilizzare una serie di strumenti di scansione come NBTScan, TCPing, FastReverseProxy e Fscan per cercare altri sistemi da prendere di mira.

Per difendersi da questo tipo di attacchi, le organizzazioni devono implementare meccanismi di verifica e controllo del software che potrebbe essere in esecuzione sulla propria rete. Dovrebbero inoltre prendere in considerazione l’implementazione di una politica che consenta solo l’esecuzione nell’ambiente delle applicazioni autorizzate e dare priorità all’applicazione di patch alle vulnerabilità nelle applicazioni rivolte al pubblico. 

"Raccomandiamo inoltre di agire immediatamente per pulire le macchine che presentano indicatori di compromissione", consiglia Neville, "... comprese le credenziali ciclistiche e seguire il processo interno della propria organizzazione per eseguire un'indagine approfondita."