Grupa zagrożeń poprzednio związana ze znanym trojanem zdalnego dostępu ShadowPad (RAT) została zaobserwowana przy użyciu starych i nieaktualnych wersji popularnych pakietów oprogramowania do ładowania złośliwego oprogramowania w systemach należących do wielu docelowych organizacji rządowych i obronnych w Azji.
Powodem korzystania z przestarzałych wersji legalnego oprogramowania jest to, że umożliwiają one atakującym korzystanie z dobrze znanej metody zwanej ładowaniem pobocznym biblioteki dołączanej dynamicznie (DLL) w celu wykonania złośliwych ładunków w systemie docelowym. Większość obecnych wersji tych samych produktów chroni przed wektorem ataku, który zasadniczo polega na tym, że adwersarze ukrywają złośliwy plik DLL jako prawdziwy i umieszczają go w katalogu, w którym aplikacja automatycznie ładuje i uruchamia plik.
Badacze z zespołu Symantec Threat Hunter firmy Broadcom Software zaobserwowali, że: ShadowPadpowiązana grupa zagrożeń wykorzystująca taktykę w kampanii cyberszpiegowskiej. Do tej pory grupa docelowa obejmowała biuro premiera, organizacje rządowe związane z sektorem finansowym, państwowe firmy obronne i lotnicze oraz państwowe firmy telekomunikacyjne, informatyczne i medialne. Analiza dostawcy zabezpieczeń wykazała, że kampania trwa co najmniej od początku 2021 roku, a głównym celem jest wywiad.
Dobrze znana taktyka cyberataku, ale skuteczna
"Sposób użycia legalne aplikacje ułatwiające sideloading DLL wydaje się rosnąć wśród agentów szpiegowskich działających w regionie” – powiedział Symantec w raporcie z tego tygodnia. Jest to atrakcyjna taktyka, ponieważ narzędzia antymalware często nie wykrywają złośliwej aktywności, ponieważ atakujący używali starych aplikacji do ładowania bocznego.
„Oprócz wieku aplikacji, inną wspólną cechą jest to, że wszystkie były stosunkowo dobrze znanymi nazwiskami, a zatem mogą wydawać się nieszkodliwe”. mówi Alan Neville, analityk ds. analizy zagrożeń w zespole łowców zagrożeń firmy Symantec.
Symantec powiedział, że fakt, że grupa stojąca za obecną kampanią w Azji stosuje tę taktykę, mimo że jest dobrze zrozumiana, sugeruje, że technika ta przynosi pewien sukces.
Neville mówi, że jego firma nie zaobserwowała ostatnio, jak cyberprzestępcy stosują tę taktykę w Stanach Zjednoczonych lub gdzie indziej. „Technika ta jest najczęściej wykorzystywana przez atakujących skupiających się na organizacjach azjatyckich” – dodaje.
Neville twierdzi, że w większości ataków w ostatniej kampanii cyberprzestępcy wykorzystywali legalne narzędzie PsExec Windows do uruchamianie programów na zdalnych systemach do przeprowadzania sideloadingu i wdrażania złośliwego oprogramowania. W każdym przypadku osoby atakujące już wcześniej włamały się do systemów, na których zainstalowały stare, legalne aplikacje.
„[Programy] zostały zainstalowane na każdym zaatakowanym komputerze, na którym atakujący chcieli uruchomić złośliwe oprogramowanie. W niektórych przypadkach może to być wiele komputerów w tej samej sieci ofiary” – mówi Neville. W innych przypadkach Symantec zaobserwował, jak instalowali wiele legalnych aplikacji na jednym komputerze w celu załadowania swojego złośliwego oprogramowania, dodaje.
„Użyli dość szerokiego wachlarza oprogramowania, w tym oprogramowania zabezpieczającego, oprogramowania graficznego i przeglądarek internetowych”, zauważa. W niektórych przypadkach badacze firmy Symantec zaobserwowali również, że atakujący używa legalnych plików systemowych ze starszego systemu operacyjnego Windows XP, aby umożliwić atak.
Logdatter, zakres złośliwych ładunków
Jednym ze szkodliwych ładunków jest nowy złodziej informacji o nazwie Logdatter, który umożliwia atakującym między innymi rejestrowanie naciśnięć klawiszy, robienie zrzutów ekranu, przeszukiwanie baz danych SQL, wstrzykiwanie dowolnego kodu i pobieranie plików. Inne ładunki wykorzystywane przez cyberprzestępcę w swojej azjatyckiej kampanii to trojan oparty na PlugX, dwa RAT o nazwach Trochilus i Quasar oraz kilka legalnych narzędzi podwójnego zastosowania. Należą do nich Ladon, platforma testów penetracyjnych, FScan i NBTscan do skanowania środowisk ofiar.
Neville twierdzi, że firma Symantec nie była w stanie określić z całą pewnością, w jaki sposób cyberprzestępcy mogą uzyskać wstępny dostęp do środowiska docelowego. Jednak phishing i wykorzystywanie okazji do niezałatanych systemów są prawdopodobnie wektorami.
„Alternatywnie atak łańcucha dostaw oprogramowania nie wykracza poza zakres tych atakujących, ponieważ aktorzy z dostępem do ShadowPad są wiadomo, że przeprowadzał ataki w łańcuchu dostaw w przeszłości” — zauważa Neville. Gdy cyberprzestępcy uzyskają dostęp do środowiska, zwykle korzystają z szeregu narzędzi skanujących, takich jak NBTScan, TCPing, FastReverseProxy i Fscan, aby szukać innych systemów, na które mogą być celem.
Aby bronić się przed tego rodzaju atakami, organizacje muszą wdrożyć mechanizmy audytu i kontroli oprogramowania, które może być uruchomione w ich sieci. Powinni również rozważyć wdrożenie polityki zezwalającej na uruchamianie w środowisku tylko aplikacji umieszczonych na białej liście i priorytetowo traktować łatanie luk w aplikacjach dostępnych publicznie.
„Zalecamy również podjęcie natychmiastowych działań w celu oczyszczenia maszyn, które wykazują jakiekolwiek oznaki narażenia”, radzi Neville, „… w tym poświadczenia jazdy na rowerze i przestrzeganie wewnętrznego procesu własnej organizacji w celu przeprowadzenia dokładnego dochodzenia”.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
