Un actor de amenazas no identificado comprometió una aplicación utilizada por varias entidades en Pakistán para entregar ShadowPad, un sucesor de la puerta trasera PlugX que comúnmente se asocia con los equipos de piratería chinos.
Los objetivos incluían una entidad del gobierno de Pakistán, un banco del sector público y un proveedor de telecomunicaciones, según Trend Micro. Las infecciones tuvieron lugar entre mediados de febrero de 2022 y septiembre de 2022.
La compañía de seguridad cibernética dijo que el incidente podría ser el resultado de un ataque a la cadena de suministro, en el que una pieza legítima de software utilizada por objetivos de interés es troyanizada para implementar malware capaz de recopilar información confidencial de sistemas comprometidos.
La cadena de ataque toma la forma de un instalador malicioso para Sede Electrónicauna aplicación desarrollada por la Junta Nacional de Tecnología de la Información (NITB) de Pakistán para ayudar a los departamentos gubernamentales a dejar de usar papel.
Actualmente no está claro cómo se entregó a los objetivos el instalador de E-Office con puerta trasera. Dicho esto, no hay evidencia hasta la fecha de que el entorno de construcción de la agencia gubernamental paquistaní en cuestión se haya visto comprometido.
Esto plantea la posibilidad de que el autor de la amenaza obtuviera el instalador legítimo y lo manipulara para incluir malware y, posteriormente, atrajera a las víctimas para que ejecutaran la versión troyana mediante ataques de ingeniería social.
«Se agregaron tres archivos al instalador MSI legítimo: Telerik.Windows.Data.Validation.dll, mscoree.dll y mscoree.dll.dat», investigador de Trend Micro Daniel Lunghi dicho en un análisis actualizado publicado hoy.
Telerik.Windows.Data.Validation.dll es un archivo applaunch.exe válido firmado por Microsoft, que es vulnerable a Carga lateral de DLL y se usa para descargar mscoree.dll que, a su vez, carga mscoree.dll.dat, el Carga útil de ShadowPad.
Trend Micro dijo que las técnicas de ofuscación utilizadas para ocultar DLL y el malware descifrado en etapa final son una evolución de un enfoque expuesto anteriormente por Positive Technologies en enero de 2021 en relación con una campaña de ciberespionaje china realizada por el grupo Winnti (también conocido como APT41).
Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS
¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.
Además de ShadowPad, las actividades posteriores a la explotación han implicado el uso de Mimikatz para volcar contraseñas y credenciales de la memoria.
La atribución a un actor de amenazas conocido se ha visto obstaculizada por la falta de evidencia, aunque la compañía de ciberseguridad dijo que descubrió muestras de malware como Deed RAT, que se ha atribuido al actor de amenazas Space Pirates (o Webworm).
“Toda esta campaña fue el resultado de un actor de amenazas muy capaz que logró recuperar y modificar el instalador de una aplicación gubernamental para comprometer al menos tres objetivos sensibles”, dijo Lunghi.
«El hecho de que el actor de amenazas tenga acceso a una versión reciente de ShadowPad lo vincula potencialmente con el nexo de los actores de amenazas chinos, aunque no podemos señalar a un grupo en particular con confianza».