ShadowPad кибератака срещу Пакистан
Кибератака в Пакистан: Зловредният софтуер ShadowPad компрометира правителствени структури
При инцидент, свързан с киберсигурността, неидентифициран извършител на киберзаплаха е атакувал множество правителствени структури в Пакистан, като е компрометирал широко използвано приложение и е внедрил зловредния софтуер ShadowPad.
Атаката е засегнала правителствена структура, банка от публичния сектор и доставчик на телекомуникационни услуги в периода от средата на февруари до септември 2022 г. Този инцидент подчертава потенциалните рискове, свързани с кибератаки по различни вериги за доставки, при които легитимен софтуер се подправя, за да се разпространява зловреден код и да се събира чувствителна информация от компрометираните вече системи.
Верига на атаката:
Според Trend Micro, водеща компания за киберсигурност, веригата е включвала троянизиране на инсталатора на E-Office – приложение, разработено от Националния съвет за информационни технологии (NITB) на Пакистан за улесняване на процедурни операции според закона за paperless work process в правителствените служби. Въпреки че точният метод на доставка на зловредния код остава неясен, доказателствата сочат, че участникът в заплахата може да е получил легитимния инсталатор и да го е модифицирал, за да включи зловреден код в него. Вероятно са били използвани тактики на социално инженерство, за да бъдат подмамени жертвите да стартират троянизираната версия.
Зловредни компоненти и техники:
Троянският инсталатор на E-Office е съдържал три допълнителни файла: Telerik.Windows.Data.Validation.dll, mscoree.dll и mscoree.dll.dat. Тези файлове, на практика, улесняват внедряването на зловредния код на ShadowPad, като се възползват от налични пропуски в сигурността, като странично зареждане на DLL.
Забележително е, че техниките за замаскиране, използвани за прикриване на DLL и декриптирания зловреден код на последния етап, приличат на тези, които преди това бяха разкрити в китайска кампания за кибершпионаж, известна като групата Winnti – известна още като APT41.
Последващи действия след експлоатирането:
Освен ShadowPad, участникът в заплахата е използвал техники за последващо експлоатиране, включително използването на Mimikatz, за извличане на пароли и пълномощни от компрометирани системи. По-специално, по време на разследването са открити образци на зловреден код като Deed RAT, който се свързва с киберпрестъпниците Space Pirates или Webworm. Окончателното определяне на причината, обаче, остава предизвикателство, защото липсват сериозен набор от доказателства за финалните заключения.
Какви са последствията от тази кибератака с ShadowPad:
Trend Micro подчертава, че тази сложна кампания за атака показва участието на много добре обучен хакер в атаката. На този етап от разследването не може да се определи точен виновник за атаката, който да поеме отговорността, въпреки сериозните връзки с някои добре познати китайски киберпрестъпници.