Un cluster d’activités de menace inconnu ciblait les organisations européennes, en particulier celles du secteur de la santé, pour déployer Plugx et son successeur, ShadowPad, les intrusions conduisant finalement au déploiement d’un ransomware appelé Nailaolocker dans certains cas.
La campagne, nommée Green Nailao par Orange Cyberdefense CERT, a impliqué l’exploitation d’un nouveau défaut de sécurité paralysé dans les produits de sécurité du réseau de point de contrôle (CVE-2024-24919, score CVSS: 7,5). Les attaques ont été observées entre juin et octobre 2024.
“La campagne s’est appuyée sur le détournement de l’ordre de recherche DLL pour déployer ShadowPad et Plugx – deux implants souvent associés aux intrusions ciblées en Chine-Nexus”, la société dit Dans un rapport technique partagé avec le Hacker News.
L’accès initial offert par l’exploitation des instances de point de contrôle vulnérable aurait permis aux acteurs de la menace de récupérer les informations d’identification des utilisateurs et de se connecter au VPN à l’aide d’un compte légitime.
Dans la prochaine étape, les attaquants ont réalisé une reconnaissance du réseau et un mouvement latéral via le protocole de bureau éloigné (RDP) pour obtenir des privilèges élevés, suivis par l’exécution d’un binaire légitime (“logger.exe”) pour la relocolent une dll rogue (“LOGEXTS.DLL” ) Cela sert ensuite de chargeur pour une nouvelle version du logiciel malveillant ShadowPad.
Les itérations précédentes des attaques détectées en août 2024 se sont avérées tirer parti de Tradecraft similaire pour livrer Plugx, qui utilise également le chargement latéral DLL à l’aide d’un exécutable McAfee (“MCOEMCPY.EXE”) à Sideload “McUtil.dll”.
Comme Plugx, ShadowPad est un malware vendu privé utilisé exclusivement par les acteurs d’espionnage chinois depuis au moins 2015. La variante identifiée par Orange CyberDefense CERT propose une obfuscation sophistiquée et des mesures anti-débugs, en ainsi qu’établir une communication avec un serveur distant pour créer un accès à distance persistant à Systèmes de victimes.
Il existe des preuves suggérant que les acteurs de la menace ont tenté d’exfiltrer les données en accédant au système de fichiers et en créant des archives ZIP. Les intrusions culminent avec l’utilisation de Windows Management Instrumentation (WMI) pour transmettre trois fichiers, un exécutable légitime signé par Beijing Huorong Network Technology Co., Ltd (“Usysdiag.exe”), un chargeur nommé Nailaoloader (“Sensapi.Dll”) et Nailaolocker (“usysdiag.exe.dat”).
Encore une fois, le fichier DLL est coléé via “usysdiag.exe” pour décrypter et déclencher l’exécution de Nailaolocker, un ransomware basé sur C ++ qui crypte les fichiers, les ajoute avec une extension “. Bloquée” et laisse tomber une note de rançon qui exige les victimes des victimes Pour effectuer un paiement Bitcoin ou contactez-les à une adresse courante Proton.
“Nailaolocker est relativement peu sophistiqué et mal conçu, apparemment pas destiné à garantir un chiffrement complet”, a déclaré les chercheurs Marine Pichon et Alexis Bonnefoi.
“Il ne scanne pas les partages du réseau, il n’arrête pas les services ou les processus qui pourraient empêcher le chiffrement de certains fichiers importants, [and] Il ne contrôle pas s’il est débogué. “
Orange a attribué l’activité avec une confiance moyenne à un acteur de menace aligné chinois en raison de l’utilisation de l’implant de ShadowPad, de l’utilisation de techniques de chargement latérales DLL et du fait que des schémas de ransomware similaires ont été attribués à un autre groupe de menace chinois doublé de bronze Lumière des étoiles.
De plus, l’utilisation de “UsysDiag.exe” pour les charges utiles à la touche à la touche a précédemment été observée dans les attaques montées par un ensemble d’intrusion lié à la Chine suivi par Sophos sous le nom de nom Alpha (aka STAC1248).
Bien que les objectifs exacts de la campagne Espionage-Cum-Ransomware ne soient pas clairs, il est soupçonné que les acteurs de la menace cherchent à réaliser des bénéfices rapides de côté.
“Cela pourrait aider à expliquer le contraste de sophistication entre ShadowPad et Nailaolocker, avec Nailaolocker qui tente parfois d’imiter les techniques de chargement de Shadowpad”, ont déclaré les chercheurs. “Bien que de telles campagnes puissent parfois être menées de manière opportuniste, elles permettent souvent aux groupes de menaces d’accéder à des systèmes d’information qui peuvent être utilisés plus tard pour mener d’autres opérations offensives.”




