据观察,之前与臭名昭著的 ShadowPad 远程访问木马 (RAT) 相关的威胁组织使用流行软件包的旧版本和过时版本,在属于亚洲多个目标政府和国防组织的系统上加载恶意软件。
使用过时版本的合法软件的原因是它们允许攻击者使用一种称为动态链接库 (DLL) 侧载的众所周知的方法在目标系统上执行恶意负载。同一产品的大多数当前版本都可以防止攻击媒介,这基本上涉及攻击者将恶意 DLL 文件伪装成合法文件,并将其放入应用程序自动加载和运行该文件的目录中。
Broadcom Software 的 Symantec Threat Hunter 团队的研究人员观察到 影垫相关威胁组织在网络间谍活动中使用该策略。迄今为止,该组织的目标包括总理办公室、与金融部门有关的政府组织、政府拥有的国防和航空航天公司以及国有电信、IT 和媒体公司。该安全供应商的分析显示,该活动至少自 2021 年初以来一直在持续,情报是主要焦点。
众所周知但成功的网络攻击策略
“指某东西的用途 合法应用程序以促进 DLL 旁加载 赛门铁克在本周的一份报告中表示:“在该地区开展活动的间谍活动似乎呈增长趋势。”这是一种很有吸引力的策略,因为反恶意软件工具通常无法发现恶意活动,因为攻击者使用旧应用程序进行侧面加载。
“除了应用程序的年龄之外,另一个共同点是它们都是相对知名的名称,因此可能看起来无害。”赛门铁克威胁猎手团队的威胁情报分析师 Alan Neville 说道。
赛门铁克表示,尽管这一策略已广为人知,但当前亚洲活动背后的组织仍在使用这一策略,这一事实表明该技术正在取得一些成功。
内维尔表示,他的公司最近没有观察到威胁行为者在美国或其他地方使用这种策略。 “该技术主要由针对亚洲组织的攻击者使用,”他补充道。
Neville 表示,在最新活动的大多数攻击中,威胁行为者使用合法的 PsExec Windows 实用程序进行攻击 在远程系统上执行程序 执行侧面加载并部署恶意软件。在每种情况下,攻击者之前都已经破坏了安装旧的合法应用程序的系统。
“[这些程序]安装在攻击者想要运行恶意软件的每台受感染的计算机上。在某些情况下,可能是同一受害网络上的多台计算机,”内维尔说。他补充说,在其他情况下,赛门铁克还观察到他们在一台计算机上部署多个合法应用程序来加载恶意软件。
“他们使用了相当多的软件,包括安全软件、图形软件和网络浏览器,”他指出。在某些情况下,赛门铁克研究人员还观察到攻击者使用旧版 Windows XP 操作系统中的合法系统文件来发起攻击。
Logdatter,恶意负载范围
其中一个恶意负载是一种名为 Logdatter 的新信息窃取程序,它允许攻击者记录击键、截取屏幕截图、查询 SQL 数据库、注入任意代码和下载文件等。威胁行为者在其亚洲活动中使用的其他有效负载包括基于 PlugX 的木马、两种名为 Trochilus 和 Quasar 的 RAT,以及几种合法的双重用途工具。其中包括渗透测试框架 Ladon、FScan 和用于扫描受害者环境的 NBTscan。
Neville 表示,赛门铁克无法确定威胁行为者如何获得对目标环境的初始访问权限。但网络钓鱼和针对未打补丁的系统的机会目标可能是向量。
“或者,软件供应链攻击并不超出这些攻击者的职权范围,因为有权访问 ShadowPad 的攻击者 已知发起了供应链攻击 过去,”内维尔指出。一旦威胁行为者获得了对环境的访问权限,他们往往会使用一系列扫描工具(例如 NBTScan、TCPing、FastReverseProxy 和 Fscan)来寻找其他目标系统。
为了防御此类攻击,组织需要实施审核和控制网络上运行的软件的机制。他们还应该考虑实施只允许白名单应用程序在环境中运行的政策,并优先修复面向公众的应用程序中的漏洞。
“我们还建议立即采取行动清洁出现任何妥协迹象的机器,”内维尔建议,“……包括循环凭证并遵循您自己组织的内部流程来进行彻底调查。”
