Tanımlanamayan bir tehdit aktörü, Pakistan’daki birden çok kuruluş tarafından, genellikle Çinli bilgisayar korsanlığı ekipleriyle ilişkilendirilen PlugX arka kapısının halefi olan ShadowPad’i teslim etmek için kullanılan bir uygulamanın güvenliğini ele geçirdi.
Trend Micro’ya göre hedefler arasında bir Pakistan devlet kuruluşu, bir kamu sektörü bankası ve bir telekomünikasyon sağlayıcısı vardı. Enfeksiyonlar, 2022 Şubat ortası ile Eylül 2022 arasında gerçekleşti.
Siber güvenlik şirketi, olayın, ilgili hedefler tarafından kullanılan meşru bir yazılım parçasının, güvenliği ihlal edilmiş sistemlerden hassas bilgiler toplayabilen kötü amaçlı yazılım dağıtmak için trojanlaştırıldığı bir tedarik zinciri saldırısının sonucu olabileceğini söyledi.
Saldırı zinciri, kötü amaçlı bir yükleyici biçimini alır. E-OfisPakistan Ulusal Bilgi Teknolojisi Kurulu (NITB) tarafından devlet dairelerinin kağıtsız hale gelmesine yardımcı olmak için geliştirilen bir uygulama.
Arka kapılı E-Office yükleyicisinin hedeflere nasıl teslim edildiği şu anda net değil. Bununla birlikte, söz konusu Pakistan devlet kurumunun inşa ortamının tehlikeye atıldığına dair bugüne kadar hiçbir kanıt yok.
Bu, tehdit aktörünün yasal yükleyiciyi ele geçirip kötü amaçlı yazılım içerecek şekilde kurcalamış olması ve ardından kurbanları sosyal mühendislik saldırıları yoluyla truva atı yapılmış sürümü çalıştırmaya ikna etmesi olasılığını artırır.
Trend Micro araştırmacısı Daniel Lunghi, “Meşru MSI yükleyicisine üç dosya eklendi: Telerik.Windows.Data.Validation.dll, mscoree.dll ve mscoree.dll.dat” söz konusu bugün yayınlanan güncellenmiş bir analizde.
Telerik.Windows.Data.Validation.dll, Microsoft tarafından imzalanmış ve güvenlik açığı bulunan geçerli bir applaunch.exe dosyasıdır. DLL yandan yükleme ve sırayla mscoree.dll.dat’ı yükleyen mscoree.dll dosyasını yandan yüklemek için kullanılır. ShadowPad yükü.
Trend Micro, DLL’yi gizlemek için kullanılan gizleme tekniklerinin ve şifresi çözülmüş son aşama kötü amaçlı yazılımın, daha önce Pozitif Teknolojiler tarafından Ocak 2021’de Winnti grubu (aka APT41) tarafından yürütülen bir Çin siber casusluk kampanyasıyla bağlantılı olarak ortaya koyduğu bir yaklaşımın evrimi olduğunu söyledi.
İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın
İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.
ShadowPad’in yanı sıra, kullanım sonrası faaliyetler, mimikatz parolaları ve kimlik bilgilerini bellekten boşaltmak için.
Siber güvenlik şirketi, Space Pirates (veya Webworm) tehdit aktörüne atfedilen Deed RAT gibi kötü amaçlı yazılım örnekleri bulduğunu söylemesine rağmen, bilinen bir tehdit aktörüne atıf, kanıt eksikliği nedeniyle engellendi.
Lunghi, “Bütün bu kampanya, en az üç hassas hedefi tehlikeye atmak için bir devlet uygulamasının yükleyicisini almayı ve değiştirmeyi başaran çok yetenekli bir tehdit aktörünün sonucuydu” dedi.
“Belirli bir grubu güvenle gösteremesek de, tehdit aktörünün ShadowPad’in yeni bir sürümüne erişiminin olması, potansiyel olarak onu Çinli tehdit aktörlerinin bağlantı noktasına bağlıyor.”
