En trusselgruppe som tidligere var assosiert med den beryktede ShadowPad remote access Trojan (RAT) har blitt observert ved å bruke gamle og utdaterte versjoner av populære programvarepakker for å laste skadevare på systemer som tilhører flere målmyndigheter og forsvarsorganisasjoner i Asia.
Grunnen til å bruke utdaterte versjoner av legitim programvare er fordi de lar angriperne bruke en velkjent metode kalt dynamic link library (DLL) sideloading for å utføre skadelige nyttelaster på et målsystem. De fleste nåværende versjoner av de samme produktene beskytter mot angrepsvektoren, som i utgangspunktet innebærer at motstandere skjuler en ondsinnet DLL-fil som en legitim fil og legger den i en katalog der applikasjonen automatisk laster og kjører filen.
Forskere fra Broadcoms Softwares Symantec Threat Hunter-team observerte ShadowPad-relatert trusselgruppe som bruker taktikken i en nettspionasjekampanje. Gruppens mål har så langt inkludert et statsministerkontor, statlige organisasjoner knyttet til finanssektoren, statseide forsvars- og romfartsfirmaer og statseide telekom-, IT- og medieselskaper. Sikkerhetsleverandørens analyse viste at kampanjen har pågått siden minst tidlig 2021, med etterretning som hovedfokus.
En kjent cyberangrepstaktikk, men vellykket
"Bruken av legitime applikasjoner for å lette DLL-sidelasting ser ut til å være en økende trend blant spionaktører som opererer i regionen, sa Symantec i en rapport denne uken. Det er en attraktiv taktikk fordi anti-malware-verktøy ofte ikke oppdager den ondsinnede aktiviteten fordi angripere brukte gamle applikasjoner for sidelasting.
"Bortsett fra alderen på søknadene, er det andre fellestrekket at de alle var relativt kjente navn og derfor kan virke ufarlige." sier Alan Neville, trusseletterretningsanalytiker med Symantecs trusseljegerteam.
Det faktum at gruppen bak den nåværende kampanjen i Asia bruker taktikken til tross for at den er godt forstått, antyder at teknikken gir en viss suksess, sa Symantec.
Neville sier at selskapet hans ikke nylig har observert trusselaktører bruke taktikken i USA eller andre steder. "Teknikken brukes mest av angripere som fokuserer på asiatiske organisasjoner," legger han til.
Neville sier at i de fleste angrepene i den siste kampanjen brukte trusselaktører det legitime PsExec Windows-verktøyet for kjøre programmer på eksterne systemer for å utføre sideinnlastingen og distribuere skadelig programvare. I hvert tilfelle hadde angriperne allerede tidligere kompromittert systemene de installerte de gamle, legitime appene på.
«[Programmene] ble installert på hver kompromitterte datamaskin angriperne ønsket å kjøre skadelig programvare på. I noen tilfeller kan det være flere datamaskiner på samme offernettverk, sier Neville. I andre tilfeller observerte Symantec også at de distribuerte flere legitime applikasjoner på en enkelt maskin for å laste inn skadelig programvare, legger han til.
"De brukte et stort utvalg programvare, inkludert sikkerhetsprogramvare, grafikkprogramvare og nettlesere," bemerker han. I noen tilfeller observerte Symantec-forskere også angriperen ved å bruke legitime systemfiler fra det eldre Windows XP OS for å aktivere angrepet.
Logdatter, rekke ondsinnede nyttelaster
En av de ondsinnede nyttelastene er en ny informasjonstyver kalt Logdatter, som lar angriperne blant annet logge tastetrykk, ta skjermbilder, søke etter SQL-databaser, injisere vilkårlig kode og laste ned filer. Andre nyttelaster som trusselaktøren bruker i sin asiatiske kampanje inkluderer en PlugX-basert trojaner, to RAT-er kalt Trochilus og Quasar, og flere legitime verktøy for dobbeltbruk. Disse inkluderer Ladon, et rammeverk for penetrasjonstesting, FScan og NBTscan for skanning av offermiljøer.
Neville sier at Symantec ikke har vært i stand til å fastslå med sikkerhet hvordan trusselaktørene kan få innledende tilgang til et målmiljø. Men phishing og mulighetsmålretting av upatchede systemer er sannsynligvis vektorer.
"Alternativt er ikke et programvareforsyningskjedeangrep utenfor disse angripernes ansvarsområde, ettersom aktører med tilgang til ShadowPad er kjent for å ha satt i gang forsyningskjedeangrep i fortiden,» bemerker Neville. Når trusselaktørene har fått tilgang til et miljø, har de hatt en tendens til å bruke en rekke skanneverktøy som NBTScan, TCPing, FastReverseProxy og Fscan for å se etter andre systemer å målrette mot.
For å forsvare seg mot denne typen angrep, må organisasjoner implementere mekanismer for å revidere og kontrollere hvilken programvare som kan kjøre på nettverket deres. De bør også vurdere å implementere en policy om kun å tillate hvitelistede applikasjoner å kjøre i miljøet og prioritere oppdatering av sårbarheter i offentlige applikasjoner.
"Vi vil også anbefale å ta umiddelbare tiltak for å rengjøre maskiner som viser noen indikatorer på kompromiss," råder Neville, "... inkludert sykkellegitimasjon og å følge din egen organisasjons interne prosess for å utføre en grundig undersøkelse."
