Злоумышленники ShadowPad возвращаются со свежими правительственными забастовками и обновленными инструментами

Группа угроз, ранее связанная с пресловутым трояном удаленного доступа ShadowPad (RAT), была замечена с использованием старых и устаревших версий популярных программных пакетов для загрузки вредоносного ПО в системы, принадлежащие множеству целевых правительственных и оборонных организаций в Азии.

Причина использования устаревших версий легального программного обеспечения заключается в том, что они позволяют злоумышленникам использовать хорошо известный метод, называемый загрузкой неопубликованных динамически подключаемых библиотек (DLL), для выполнения своих вредоносных полезных данных в целевой системе. Большинство последних версий одних и тех же продуктов защищают от вектора атаки, который в основном предполагает, что злоумышленники маскируют вредоносный файл DLL под законный и помещают его в каталог, где приложение автоматически загружает и запускает файл.

Исследователи из команды Symantec Threat Hunter компании Broadcom Software наблюдали теневая панельсвязанная с угрозами группа, использующая эту тактику в кампании кибершпионажа. На данный момент целью группы являются канцелярия премьер-министра, правительственные организации, связанные с финансовым сектором, государственные оборонные и аэрокосмические компании, а также государственные телекоммуникационные, ИТ- и медиа-компании. Анализ, проведенный поставщиком средств безопасности, показал, что кампания продолжается, по крайней мере, с начала 2021 года, причем основное внимание уделяется разведке.

Хорошо известная тактика кибератак, но успешная

"Использование законные приложения для облегчения загрузки неопубликованных DLL Похоже, что среди шпионских агентов, действующих в регионе, наблюдается растущая тенденция», — говорится в отчете Symantec на этой неделе. Это привлекательная тактика, поскольку средства защиты от вредоносных программ часто не обнаруживают вредоносную активность, поскольку злоумышленники использовали старые приложения для боковой загрузки.

«Помимо возраста заявок, есть еще одна общая черта: все они были относительно известными именами и поэтому могут показаться безобидными». — говорит Алан Невилл, аналитик по анализу угроз из команды Symantec по поиску угроз.

По словам Symantec, тот факт, что группа, стоящая за нынешней кампанией в Азии, использует эту тактику, несмотря на то, что она хорошо понята, позволяет предположить, что эта техника приносит некоторый успех.

Невилл говорит, что его компания в последнее время не наблюдала, чтобы злоумышленники использовали эту тактику в США или где-либо еще. «Эта техника в основном используется злоумышленниками, ориентированными на азиатские организации», — добавляет он.

Невилл говорит, что в большинстве атак последней кампании злоумышленники использовали законную утилиту Windows PsExec для выполнение программ на удаленных системах для выполнения неопубликованной загрузки и развертывания вредоносного ПО. В каждом случае злоумышленники уже ранее скомпрометировали системы, на которых были установлены старые легитимные приложения.

«[Программы] были установлены на каждый взломанный компьютер, на котором злоумышленники хотели запустить вредоносное ПО. В некоторых случаях это может быть несколько компьютеров в одной сети жертвы», — говорит Невилл. В других случаях Symantec также наблюдала, как они развертывали несколько легитимных приложений на одном компьютере для загрузки своего вредоносного ПО, добавляет он.

«Они использовали целый ряд программного обеспечения, включая программное обеспечение для обеспечения безопасности, графическое программное обеспечение и веб-браузеры», — отмечает он. В некоторых случаях исследователи Symantec также наблюдали, как злоумышленник использовал законные системные файлы из устаревшей ОС Windows XP для проведения атаки.

Logdatter, Диапазон вредоносных полезных нагрузок

Одной из вредоносных программ является новый инструмент для кражи информации, получивший название Logdatter, который позволяет злоумышленникам регистрировать нажатия клавиш, делать снимки экрана, запрашивать базы данных SQL, внедрять произвольный код и загружать файлы, а также многое другое. Другие полезные нагрузки, которые злоумышленник использует в своей азиатской кампании, включают трояна на базе PlugX, две RAT, получившие названия Trochilus и Quasar, а также несколько законных инструментов двойного назначения. К ним относятся Ladon, среда тестирования на проникновение, FScan и NBTscan для сканирования сред жертв.

Невилл говорит, что Symantec не смогла с уверенностью определить, как злоумышленники могут получить первоначальный доступ к целевой среде. Но вероятными векторами являются фишинг и попытки атаковать неисправленные системы.

«В качестве альтернативы, атака на цепочку поставок программного обеспечения не выходит за рамки компетенции этих злоумышленников, поскольку субъекты, имеющие доступ к ShadowPad, известно, что он начал атаки на цепочку поставок в прошлом», — отмечает Невилл. Получив доступ к среде, злоумышленники, как правило, используют ряд инструментов сканирования, таких как NBTScan, TCPing, FastReverseProxy и Fscan, для поиска других систем, на которые можно нанести удар.

Чтобы защититься от подобных атак, организациям необходимо внедрить механизмы аудита и контроля того, какое программное обеспечение может быть запущено в их сети. Им также следует рассмотреть возможность реализации политики, позволяющей запускать в среде только приложения из белого списка, и уделять приоритетное внимание исправлению уязвимостей в общедоступных приложениях. 

«Мы также рекомендуем принять незамедлительные меры по очистке машин, на которых обнаружены какие-либо признаки взлома, — советует Невилл, — … включая учетные данные для езды на велосипеде и следовать внутренним процедурам вашей организации для проведения тщательного расследования».