以前は悪名高い ShadowPad リモート アクセス型トロイの木馬 (RAT) に関連付けられていた脅威グループが、一般的なソフトウェア パッケージの古いバージョンと古いバージョンを使用して、アジアの複数の標的の政府および防衛組織に属するシステムにマルウェアをロードしていることが確認されています。
正当なソフトウェアの古いバージョンを使用する理由は、攻撃者がダイナミック リンク ライブラリ (DLL) サイドローディングと呼ばれるよく知られた方法を使用して、標的のシステムで悪意のあるペイロードを実行できるようにするためです。 同じ製品の最新バージョンのほとんどは、基本的に攻撃者が悪意のある DLL ファイルを正当なものに偽装し、アプリケーションがファイルを自動的にロードして実行するディレクトリに配置するという攻撃ベクトルから保護します。
Broadcom のソフトウェアの Symantec Threat Hunter チームの研究者は、 シャドーパッドサイバースパイ活動でこの戦術を使用する関連の脅威グループ。 このグループのこれまでの標的には、首相官邸、金融セクターに関連する政府機関、政府所有の防衛および航空宇宙企業、国営の通信、IT、およびメディア企業が含まれています。 セキュリティ ベンダーの分析によると、キャンペーンは少なくとも 2021 年初頭から継続しており、インテリジェンスが主な焦点となっています。
よく知られたサイバー攻撃の戦術ですが、成功しています
"の用法 DLL サイドローディングを容易にする正当なアプリケーション シマンテックは今週のレポートで、この地域で活動しているスパイアクターの間で増加傾向にあるようです。 攻撃者が古いアプリケーションをサイドローディングに使用していたため、マルウェア対策ツールは悪意のあるアクティビティを検出できないことが多いため、これは魅力的な戦術です。
「アプリケーションの年代を除けば、他の共通点は、それらがすべて比較的有名な名前であり、無害に見える可能性があることです。」 シマンテックの脅威ハンターチームの脅威インテリジェンスアナリストである Alan Neville は次のように述べています。
シマンテックによると、アジアで現在行われているキャンペーンの背後にいるグループが、十分に理解されているにも関わらずこの戦術を使用しているという事実は、この手法がある程度の成功を収めていることを示唆しています。
Neville 氏によると、彼の会社は最近、攻撃者が米国やその他の場所でこの戦術を使用していることを確認していません。 「この手法は主に、アジアの組織に焦点を当てた攻撃者によって使用されています」と彼は付け加えます。
Neville 氏によると、最新のキャンペーンのほとんどの攻撃で、攻撃者は正規の PsExec Windows ユーティリティを使用して、 リモート システムでプログラムを実行する サイドローディングを実行し、マルウェアを展開します。 いずれの場合も、攻撃者は以前に、古い正当なアプリをインストールしたシステムを侵害していました。
「[プログラム] は、攻撃者がマルウェアを実行しようとしている侵入先の各コンピューターにインストールされていました。 場合によっては、同じ被害者ネットワーク上の複数のコンピューターである可能性があります」と Neville 氏は言います。 他の例では、Symantec は、XNUMX 台のマシンに複数の正当なアプリケーションを展開してマルウェアをロードしていることも観察した、と彼は付け加えます。
「彼らは、セキュリティ ソフトウェア、グラフィック ソフトウェア、Web ブラウザなど、さまざまなソフトウェアを使用していました」と彼は指摘します。 場合によっては、シマンテックの研究者は、攻撃者がレガシー Windows XP OS の正当なシステム ファイルを使用して攻撃を可能にすることも観察しました。
Logdatter、悪意のあるペイロードの範囲
悪意のあるペイロードの XNUMX つは、Logdatter と呼ばれる新しい情報スティーラーで、攻撃者はキーストロークの記録、スクリーンショットの取得、SQL データベースへのクエリ、任意のコードの挿入、ファイルのダウンロードなどを行うことができます。 脅威アクターがアジアでのキャンペーンで使用しているその他のペイロードには、PlugX ベースのトロイの木馬、Trochilus と Quasar と呼ばれる XNUMX つの RAT、およびいくつかの合法的なデュアルユース ツールが含まれます。 これらには、侵入テスト フレームワークである Ladon、FScan、および被害者の環境をスキャンするための NBTscan が含まれます。
Neville 氏によると、シマンテックは攻撃者が標的の環境への初期アクセスをどのように取得しているかを確実に判断できていません。 しかし、パッチが適用されていないシステムを狙ったフィッシングや標的型攻撃は、おそらくベクトルです。
「あるいは、ソフトウェア サプライ チェーンへの攻撃は、これらの攻撃者の権限外にあるわけではありません。 サプライチェーン攻撃を開始したことが知られている 過去に」とネビルは指摘します。 攻撃者が環境へのアクセスを取得すると、NBTScan、TCPing、FastReverseProxy、Fscan などのさまざまなスキャン ツールを使用して、標的とする他のシステムを探す傾向があります。
この種の攻撃を防御するために、組織は、ネットワーク上で実行されている可能性のあるソフトウェアを監査および制御するためのメカニズムを実装する必要があります。 また、ホワイトリストに登録されたアプリケーションのみを環境内で実行できるようにするポリシーの実装を検討し、公開アプリケーションの脆弱性のパッチ適用を優先する必要があります。
「また、侵害の兆候を示すマシンをクリーンアップするために、すぐに行動を起こすことをお勧めします」と Neville 氏はアドバイスします。
