Een dreigingsgroep die eerder in verband werd gebracht met de beruchte ShadowPad Remote Access Trojan (RAT) is waargenomen met het gebruik van oude en verouderde versies van populaire softwarepakketten om malware te laden op systemen van meerdere overheids- en defensieorganisaties in Azië.
De reden voor het gebruik van verouderde versies van legitieme software is omdat ze de aanvallers in staat stellen om een bekende methode genaamd dynamic link library (DLL) sideloading te gebruiken om hun kwaadaardige payloads op een doelsysteem uit te voeren. De meeste huidige versies van dezelfde producten beschermen tegen de aanvalsvector, wat in feite inhoudt dat kwaadwillenden een kwaadaardig DLL-bestand vermommen als een legitiem bestand en het in een map plaatsen waar de toepassing het bestand automatisch zou laden en uitvoeren.
Onderzoekers van het Symantec Threat Hunter-team van Broadcom Software observeerden de SchaduwPad-gerelateerde dreigingsgroep die de tactiek gebruikt in een cyberspionagecampagne. Tot de doelstellingen van de groep behoorden tot nu toe het kantoor van een premier, overheidsorganisaties die banden hebben met de financiële sector, defensie- en ruimtevaartbedrijven die eigendom zijn van de overheid, en staatsbedrijven voor telecom, IT en media. Uit de analyse van de beveiligingsleverancier bleek dat de campagne al sinds begin 2021 aan de gang is, waarbij informatie centraal staat.
Een bekende cyberaanvaltactiek, maar succesvol
"Het gebruik van legitieme applicaties om DLL-sideloading te vergemakkelijken lijkt een groeiende trend te zijn onder spionageactoren die in de regio actief zijn”, zei Symantec deze week in een rapport. Het is een aantrekkelijke tactiek omdat anti-malwaretools de kwaadaardige activiteit vaak niet opmerken omdat aanvallers oude applicaties gebruikten voor side-loading.
"Afgezien van de leeftijd van de applicaties, is de andere overeenkomst dat het allemaal relatief bekende namen waren en dus onschuldig lijken." zegt Alan Neville, analist van Threat Intelligence bij het Threat Hunter-team van Symantec.
Het feit dat de groep achter de huidige campagne in Azië de tactiek gebruikt, ondanks dat deze goed wordt begrepen, suggereert dat de techniek enig succes oplevert, zei Symantec.
Neville zegt dat zijn bedrijf de laatste tijd niet heeft waargenomen dat bedreigingsacteurs de tactiek in de VS of elders gebruiken. "De techniek wordt vooral gebruikt door aanvallers die zich richten op Aziatische organisaties", voegt hij eraan toe.
Neville zegt dat bij de meeste aanvallen in de laatste campagne, bedreigingsactoren het legitieme PsExec Windows-hulpprogramma gebruikten voor: programma's uitvoeren op systemen op afstand om de sideloading uit te voeren en malware te implementeren. In beide gevallen hadden de aanvallers al eerder de systemen gecompromitteerd waarop ze de oude, legitieme apps hadden geïnstalleerd.
"[De programma's] werden geïnstalleerd op elke gecompromitteerde computer waarop de aanvallers malware wilden uitvoeren. In sommige gevallen kunnen het meerdere computers op hetzelfde slachtoffernetwerk zijn”, zegt Neville. In andere gevallen zag Symantec ook dat ze meerdere legitieme applicaties op een enkele machine implementeerden om hun malware te laden, voegt hij eraan toe.
"Ze gebruikten een heel scala aan software, waaronder beveiligingssoftware, grafische software en webbrowsers", merkt hij op. In sommige gevallen zagen onderzoekers van Symantec ook dat de aanvaller legitieme systeembestanden van het oudere Windows XP-besturingssysteem gebruikte om de aanval mogelijk te maken.
Logdatter, bereik van schadelijke payloads
Een van de kwaadaardige payloads is een nieuwe informatie-stealer genaamd Logdatter, waarmee de aanvallers onder andere toetsaanslagen kunnen loggen, screenshots kunnen maken, SQL-databases kunnen doorzoeken, willekeurige code kunnen injecteren en bestanden kunnen downloaden. Andere payloads die de dreigingsactor in zijn Aziatische campagne gebruikt, zijn een op PlugX gebaseerde Trojan, twee RAT's genaamd Trochilus en Quasar, en verschillende legitieme tools voor tweeërlei gebruik. Deze omvatten Ladon, een penetratietestraamwerk, Fscan en NBTscan voor het scannen van slachtofferomgevingen.
Neville zegt dat Symantec niet met zekerheid heeft kunnen vaststellen hoe de dreigingsactoren in eerste instantie toegang krijgen tot een doelomgeving. Maar phishing en het richten op kansen van niet-gepatchte systemen zijn waarschijnlijke vectoren.
“Als alternatief valt een aanval op de toeleveringsketen van software niet buiten het werkterrein van deze aanvallers, aangezien actoren met toegang tot ShadowPad dat wel zijn waarvan bekend is dat ze aanvallen op de toeleveringsketen hebben uitgevoerd in het verleden”, merkt Neville op. Zodra de dreigingsactoren toegang hebben gekregen tot een omgeving, hebben ze de neiging gehad om een reeks scantools zoals NBTScan, TCPing, FastReverseProxy en Fscan te gebruiken om naar andere systemen te zoeken om zich op te richten.
Om zich tegen dit soort aanvallen te verdedigen, moeten organisaties mechanismen implementeren om te controleren en te controleren welke software op hun netwerk wordt uitgevoerd. Ze zouden ook moeten overwegen een beleid te implementeren waarbij alleen applicaties op de witte lijst in de omgeving mogen worden uitgevoerd en prioriteit moeten geven aan het patchen van kwetsbaarheden in openbare applicaties.
"We raden ook aan om onmiddellijk actie te ondernemen om machines schoon te maken die tekenen van compromis vertonen", adviseert Neville, "... inclusief fietsreferenties en het interne proces van uw eigen organisatie volgen om een grondig onderzoek uit te voeren."
