Вредоносное ПО ShadowPad развернуто против пакистанских целей

Неизвестный злоумышленник взломал широко используемое приложение в Пакистане, что привело к распространению ShadowPad, преемника бэкдора PlugX, связанного с китайскими хакерскими группами.

Цели, затронутые этой кибератакой, включают государственное учреждение, банк государственного сектора и поставщика телекоммуникационных услуг в Пакистане. По данным Trend Micro, заражение произошло в период с февраля по сентябрь 2022 года.

Trend Micro предполагает, что этот инцидент может быть результатом атаки на цепочку поставок, когда законное программное приложение, используемое целевыми организациями, подделывается для развертывания вредоносного ПО, способного собирать конфиденциальную информацию из скомпрометированных систем.

В атаке участвовал вредоносный установщик E-Office, программного обеспечения, разработанного Национальным советом по информационным технологиям (NITB) Пакистана для облегчения безбумажных операций в государственных учреждениях.

Вектор атаки пока неизвестен

Точный метод доставки скомпрометированного установщика E-Office жертвам в настоящее время неизвестен. Однако до сих пор нет никаких доказательств того, что среда сборки пакистанского государственного агентства была скомпрометирована.

Это повышает вероятность того, что злоумышленник получил законный установщик и изменил его, включив в него вредоносное ПО. Скорее всего, они соблазнили жертв запустить троянизированную версию с помощью тактики социальной инженерии.

В рамках атаки в подлинный установщик MSI были добавлены три файла: Telerik.Windows.Data.Validation.dll, mscoree.dll и mscoree.dll.dat. Среди них Telerik.Windows.Data.Validation.dll — действительный файл applaunch.exe, подписанный Microsoft, подверженный боковой загрузке DLL. Это позволяет загружать mscoree.dll, который, в свою очередь, загружает mscoree.dll.dat, полезную нагрузку, содержащую вредоносное ПО ShadowPad.

Trend Micro отмечает, что методы обфускации, используемые для сокрытия DLL и расшифровки вредоносных программ на финальном этапе, являются развитием методов, ранее раскрытых Positive Technologies в январе 2021 года, связанных с группой Winnti (также известной как APT41), занимающейся китайским кибершпионажем. кампании.