En hotgrupp som tidigare associerats med den ökända ShadowPad-trojanen för fjärråtkomst (RAT) har observerats använda gamla och föråldrade versioner av populära programvarupaket för att ladda skadlig programvara på system som tillhör flera målmyndigheter och försvarsorganisationer i Asien.
Anledningen till att använda föråldrade versioner av legitim programvara är att de tillåter angriparna att använda en välkänd metod som kallas dynamic link library (DLL) sidladdning för att exekvera sina skadliga nyttolaster på ett målsystem. De flesta nuvarande versioner av samma produkter skyddar mot attackvektorn, vilket i princip innebär att motståndare döljer en skadlig DLL-fil som en legitim fil och lägger den i en katalog där programmet automatiskt laddar och kör filen.
Forskare från Broadcoms Softwares Symantec Threat Hunter-team observerade detta ShadowPad-relaterad hotgrupp som använder taktiken i en cyberspionagekampanj. Gruppens mål har hittills inkluderat ett statsministerkontor, statliga organisationer kopplade till finanssektorn, statligt ägda försvars- och flygbolag samt statligt ägda telekom-, IT- och medieföretag. Säkerhetsleverantörens analys visade att kampanjen har pågått sedan åtminstone början av 2021, med intelligens som primärt fokus.
En välkänd cyberattackstaktik, men framgångsrik
"Användningen av legitima applikationer för att underlätta sidladdning av DLL verkar vara en växande trend bland spionageaktörer som verkar i regionen”, sa Symantec i en rapport denna vecka. Det är en attraktiv taktik eftersom anti-malware-verktyg ofta inte upptäcker den skadliga aktiviteten eftersom angripare använde gamla applikationer för sidoladdning.
"Förutom åldern på ansökningarna är det andra gemensamma att de alla var relativt välkända namn och därför kan verka ofarliga." säger Alan Neville, hotintelligensanalytiker med Symantecs team för hotjägare.
Det faktum att gruppen bakom den aktuella kampanjen i Asien använder taktiken trots att den är väl förstådd tyder på att tekniken ger viss framgång, sa Symantec.
Neville säger att hans företag inte nyligen har observerat att hotaktörer använder taktiken i USA eller någon annanstans. "Tekniken används mest av angripare som fokuserar på asiatiska organisationer," tillägger han.
Neville säger att i de flesta av attackerna i den senaste kampanjen använde hotaktörer det legitima PsExec Windows-verktyget för köra program på fjärrsystem för att utföra sidladdningen och distribuera skadlig programvara. I varje fall hade angriparna redan tidigare äventyrat systemen på vilka de installerade de gamla, legitima apparna.
"[Programmen] installerades på varje komprometterad dator som angriparna ville köra skadlig programvara på. I vissa fall kan det vara flera datorer på samma offernätverk, säger Neville. I andra fall observerade Symantec också att de distribuerade flera legitima applikationer på en enda maskin för att ladda deras skadliga program, tillägger han.
"De använde en hel uppsjö av mjukvara, inklusive säkerhetsprogram, grafikprogram och webbläsare," noterar han. I vissa fall observerade Symantecs forskare också att angriparen använde legitima systemfiler från det äldre operativsystemet Windows XP för att möjliggöra attacken.
Logdatter, utbud av skadliga nyttolaster
En av de skadliga nyttolasterna är en ny informationsstjälare kallad Logdatter, som låter angriparna bland annat logga tangenttryckningar, ta skärmdumpar, söka efter SQL-databaser, injicera godtycklig kod och ladda ner filer. Andra nyttolaster som hotaktören använder i sin asiatiska kampanj inkluderar en PlugX-baserad trojan, två RAT:er kallade Trochilus och Quasar, och flera legitima verktyg med dubbla användningsområden. Dessa inkluderar Ladon, ett ramverk för penetrationstestning, FScan och NBTscan för genomsökning av offermiljöer.
Neville säger att Symantec inte med säkerhet har kunnat avgöra hur hotaktörerna kan få initial tillgång till en målmiljö. Men nätfiske och möjlighetsinriktning av oparpade system är troliga vektorer.
"Alternativt faller inte en attack för mjukvaruförsörjningskedjan utanför dessa angripares ansvarsområde eftersom aktörer med tillgång till ShadowPad är kända för att ha inlett attacker i leveranskedjan i det förflutna”, konstaterar Neville. När hotaktörerna väl har fått tillgång till en miljö har de tenderat att använda en rad skanningsverktyg som NBTScan, TCPing, FastReverseProxy och Fscan för att leta efter andra system att rikta in sig på.
För att försvara sig mot den här typen av attacker måste organisationer implementera mekanismer för att granska och kontrollera vilken programvara som kan köras på deras nätverk. De bör också överväga att implementera en policy för att endast tillåta vitlistade applikationer att köras i miljön och prioritera korrigering av sårbarheter i applikationer som riktar sig till allmänheten.
"Vi rekommenderar också att du vidtar omedelbara åtgärder för att rengöra maskiner som uppvisar några tecken på kompromiss," råder Neville, "... inklusive cykeluppgifter och att följa din egen organisations interna process för att utföra en grundlig undersökning."
