Un actor de amenazas no identificado comprometi\u00f3 una aplicaci\u00f3n utilizada por varias entidades en Pakist\u00e1n para entregar ShadowPad, un sucesor de la puerta trasera PlugX que com\u00fanmente se asocia con los equipos de pirater\u00eda chinos.<\/p>\n
Los objetivos inclu\u00edan una entidad del gobierno de Pakist\u00e1n, un banco del sector p\u00fablico y un proveedor de telecomunicaciones, seg\u00fan Trend Micro. Las infecciones tuvieron lugar entre mediados de febrero de 2022 y septiembre de 2022.<\/p>\n
La compa\u00f1\u00eda de seguridad cibern\u00e9tica dijo que el incidente podr\u00eda ser el resultado de un ataque a la cadena de suministro, en el que una pieza leg\u00edtima de software utilizada por objetivos de inter\u00e9s es troyanizada para implementar malware capaz de recopilar informaci\u00f3n confidencial de sistemas comprometidos.<\/p>\n
La cadena de ataque toma la forma de un instalador malicioso para Sede Electr\u00f3nica<\/a>una aplicaci\u00f3n desarrollada por la Junta Nacional de Tecnolog\u00eda de la Informaci\u00f3n (NITB) de Pakist\u00e1n para ayudar a los departamentos gubernamentales a dejar de usar papel.<\/p>\n Actualmente no est\u00e1 claro c\u00f3mo se entreg\u00f3 a los objetivos el instalador de E-Office con puerta trasera. Dicho esto, no hay evidencia hasta la fecha de que el entorno de construcci\u00f3n de la agencia gubernamental paquistan\u00ed en cuesti\u00f3n se haya visto comprometido.<\/p>\n Esto plantea la posibilidad de que el autor de la amenaza obtuviera el instalador leg\u00edtimo y lo manipulara para incluir malware y, posteriormente, atrajera a las v\u00edctimas para que ejecutaran la versi\u00f3n troyana mediante ataques de ingenier\u00eda social.<\/p>\n “Se agregaron tres archivos al instalador MSI leg\u00edtimo: Telerik.Windows.Data.Validation.dll, mscoree.dll y mscoree.dll.dat”, investigador de Trend Micro Daniel Lunghi dicho<\/a> en un an\u00e1lisis actualizado publicado hoy. <\/p>\n Telerik.Windows.Data.Validation.dll es un archivo applaunch.exe v\u00e1lido firmado por Microsoft, que es vulnerable a Carga lateral de DLL<\/a> y se usa para descargar mscoree.dll que, a su vez, carga mscoree.dll.dat, el Carga \u00fatil de ShadowPad<\/a>.<\/p>\n Trend Micro dijo que las t\u00e9cnicas de ofuscaci\u00f3n utilizadas para ocultar DLL y el malware descifrado en etapa final son una evoluci\u00f3n de un enfoque expuesto anteriormente por Positive Technologies en enero de 2021 en relaci\u00f3n con una campa\u00f1a de ciberespionaje china realizada por el grupo Winnti (tambi\u00e9n conocido como APT41).<\/p>\n Prot\u00e9jase contra las amenazas internas: Domine la gesti\u00f3n de la postura de seguridad de SaaS<\/p>\n <\/a><\/p>\n \u00bfPreocupado por las amenazas internas? \u00a1Te tenemos cubierto! \u00danase a este seminario web para explorar estrategias pr\u00e1cticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.<\/p>\n \u00danete hoy<\/a><\/section>\n Adem\u00e1s de ShadowPad, las actividades posteriores a la explotaci\u00f3n han implicado el uso de Mimikatz<\/a> para volcar contrase\u00f1as y credenciales de la memoria.<\/p>\n La atribuci\u00f3n a un actor de amenazas conocido se ha visto obstaculizada por la falta de evidencia, aunque la compa\u00f1\u00eda de ciberseguridad dijo que descubri\u00f3 muestras de malware como Deed RAT, que se ha atribuido al actor de amenazas Space Pirates (o Webworm).<\/p>\n \u201cToda esta campa\u00f1a fue el resultado de un actor de amenazas muy capaz que logr\u00f3 recuperar y modificar el instalador de una aplicaci\u00f3n gubernamental para comprometer al menos tres objetivos sensibles\u201d, dijo Lunghi.<\/p>\n “El hecho de que el actor de amenazas tenga acceso a una versi\u00f3n reciente de ShadowPad lo vincula potencialmente con el nexo de los actores de amenazas chinos, aunque no podemos se\u00f1alar a un grupo en particular con confianza”.<\/p>\n <\/p>\n