Er is waargenomen dat een Chinese cyberspionagegroep de telecommunicatiesector in Centraal-Azië aanvalt met versies van malware zoals ShadowPad en PlugX.
Cyberbeveiligingsbedrijf SentinelOne koppelde de inbraken aan een acteur die het volgt onder de naam “Moshen Dragon”, met tactische overlappingen tussen het collectief en een andere dreigingsgroep die wordt aangeduid als Nomad Panda (ook bekend als RedFoxtrot).
“PlugX en ShadowPad hebben een gevestigde geschiedenis van gebruik onder Chinees sprekende dreigingsactoren, voornamelijk voor spionageactiviteiten”, zegt Joey Chen van SentinelOne. zei. “Die tools hebben flexibele, modulaire functionaliteit en zijn gecompileerd via shellcode om traditionele endpoint-beveiligingsproducten gemakkelijk te omzeilen.”
ShadowPad, bestempeld als een “meesterwerk van particulier verkochte malware in Chinese spionage”, kwam in 2015 naar voren als een opvolger van PlugX, ook al zijn er voortdurend varianten van de laatste opgedoken als onderdeel van verschillende campagnes die verband houden met Chinese bedreigingsactoren.
Hoewel bekend is dat het sinds ten minste 2017 wordt ingezet door de door de overheid gesponsorde hackgroep genaamd Bronze Atlas (ook bekend als APT41, Barium of Winnti), heeft een steeds groter aantal andere aan China gelinkte bedreigingsactoren zich bij de strijd gevoegd.
Eerder dit jaar schreef Secureworks verschillende ShadowPad-activiteitenclusters toe aan Chinese natiestaatgroepen die samenwerken met de civiele inlichtingendienst van het Chinese Ministerie van Staatsveiligheid (MSS) en het Volksbevrijdingsleger (PLA).
De nieuwste bevindingen van SentinelOne sluiten aan bij een eerder rapport van Trellix van eind maart waarin een RedFoxtrot-aanvalscampagne werd onthuld die gericht was op telecom- en defensiesectoren in Zuid-Azië met een nieuwe variant van PlugX-malware genaamd Talisman.
De TTP’s van Moshen Dragon omvatten misbruik van legitieme antivirussoftware van BitDefender, Kaspersky, McAfee, Symantec en Trend Micro om ShadowPad en Talisman op gecompromitteerde systemen te sideloaden door middel van een techniek genaamd Kaping van DLL-zoekopdrachten.
In de volgende stap wordt de gekaapte DLL gebruikt om de uiteindelijke ShadowPad- of PlugX-payload te decoderen en te laden die zich in dezelfde map bevindt als die van het uitvoerbare antivirusprogramma. Persistentie wordt bereikt door een geplande taak of een service te creëren.
Ondanks het kapen van beveiligingsproducten, omvatten andere tactieken die door de groep worden toegepast het gebruik van bekende hacktools en rode teamscripts om diefstal van referenties, zijdelingse verplaatsing en gegevensexfiltratie te vergemakkelijken. De initiële toegangsvector blijft vooralsnog onduidelijk.
“Zodra de aanvallers voet aan de grond hebben gekregen in een organisatie, gaan ze verder met zijwaartse bewegingen door gebruik te maken van Impacket binnen het netwerk, een passieve achterdeur in de slachtofferomgeving te plaatsen, zoveel mogelijk inloggegevens te verzamelen om onbeperkte toegang te verzekeren en zich te concentreren op gegevensexfiltratie, ‘ zei Chen.
