Erkennung des ShadowPad-Trojans: Redfly-Hacker setzen einen niederträchtigen RAT ein, um nationale Stromnetzorganisationen in Asien zu treffen
Inhaltsverzeichnis:
ShadowPad-Backdoor ist bei mehreren staatlich unterstützten APTs beliebt, einschließlich China-verbundener Hackergruppen, die es weit verbreitet in ihren Cyber-Spionagekampagnen einsetzen. Eine berüchtigte Cyber-Spionage-Gruppe namens Redfly hat die offensiven Fähigkeiten von ShadowPad genutzt, um ein halbes Jahr lang die Stromnetzorganisation eines asiatischen Staates ins Visier zu nehmen.
Shadowpad-Trojaner-Erkennung
Die wachsende Bedrohung durch staatliche APT-Angriffe stellt eine zunehmende Gefahr für den Sektor der kritischen Infrastrukturen dar. Seit Industroyer-Malware von Sandworm entdeckt wurde wurde sie in Angriffen gegen das ukrainische Stromnetz im Jahr 2017 eingesetzt, haben staatlich geförderte Akteure neue Ansätze entwickelt, um in Einrichtungen der kritischen Infrastruktur einzudringen und sie zu stören.
Um potenzielle Angriffe zu identifizieren und sich proaktiv gegen mögliche Angriffe zu verteidigen, die auf den von Redfly APT verwendeten ShadowPad-Trojaner basieren und auf das asiatische Stromnetz abzielen, aggregiert die SOC Prime Plattform eine Reihe kuratierter Sigma-Regeln, die mit 28 SIEM-, EDR-, XDR- und Data-Lake-Plattformen kompatibel sind.
Diese Regel von unserem erfahrenen Threat-Bounty-Entwickler Mustafa Gurkan Karakaya erkennt die mögliche Ausführung von PackerLoader über rundll durch die Erkennung des zugehörigen Befehls. Der Erkennungsalgorithmus ist mit 24 Technologieformaten kompatibel und behandelt Ausführungstaktiken sowie den Befehl und Interpreter als entsprechende Technik.
Mögliche ShadowPad-Trojaner-Persistenzaktivität durch Erstellen eines Dienstes durch die Redfly-Gruppe (via security)
Diese Regel von Mustafa Gurkan Karakaya erkennt die mögliche Persistenzaktivität der Redfly-Gruppe durch das Erstellen eines zugehörigen Dienstes. Der Erkennungsalgorithmus ist mit 18 Technologieformaten kompatibel und mit umfangreichen Metadaten sowie CTI-Links angereichert.
Um das vollständige Erkennungs-Stack zu erhalten, das bei der Identifikation bösartiger Aktivitäten im Zusammenhang mit dem ShadowPad-Trojaner hilft, klicken Sie auf die Schaltfläche Erkunden unten. Alle Sigma-Regeln sind dem MITRE ATT&CK-Framework zugeordnet und mit Bedrohungsinformationen angereichert, um die Bedrohungsuntersuchung zu erleichtern.
Möchten Sie Bedrohungen aufspüren und Ihr Fachwissen mit Kollegen teilen? Treten Sie unserem Threat Bounty Programm bei und beteiligen Sie sich an der Crowdsourcing-Initiative zur Erstellung von Sigma-Regeln. Verbessern Sie Ihre Fähigkeiten in der Bedrohungssuche und Erkennungstechnik, knüpfen Sie Kontakte zu Branchenexperten, erweitern Sie Ihre beruflichen Horizonte und verdienen Sie Geld für Ihren Beitrag.
Analyse des ShadowPad-Trojaners
ShadowPad RAT ist ein fortschrittlicher modularer Backdoor, der als nächste Iteration von PlugX-Malwareentworfen wurde. ShadowPad kann mit mehreren ausgeklügelten Fähigkeiten aufwarten und hat aufgrund seiner Kosteneffizienz an Beliebtheit bei Hacker-Kollektiven gewonnen. Angreifer verwenden diesen Trojaner, um bösartige Payloads bereitzustellen, C2-Kommunikation herzustellen und aufrechtzuerhalten und Plugins zu modifizieren. ShadowPad-Malware wurde häufig bei Angriffen im Zusammenhang mit chinesischen APT-Gruppen beobachtet, die es Angreifern ermöglichen, langfristig in kompromittierten Netzwerken präsent zu bleiben.
Die neueste Kampagne, die auf die nationale Stromnetzorganisation in Asien abzielt, teilt ähnliche Werkzeuge und Infrastruktur mit früheren Angriffen, die mit dem Cluster von APT41-Aktivitätin Verbindung stehen. Cybersecurity Forscher bei Symantec verfolgen eine Gruppe von Angreifern hinter dem relevanten offensiven Cluster, der unter den Monikern Blackfly und Grayfly bekannt ist. Symantec unterscheidet jedoch ein separates Hacker-Kollektiv hinter der neuesten Angreiferaktivität, Redfly, wobei kritische nationale Infrastrukturen ihr Hauptziel sind.
Forscher haben eine langfristige Präsenz von ShadowPad-Malware im kompromittierten Netzwerk der betroffenen Organisation über einen Zeitraum von sechs Monaten beobachtet. Die beharrliche Eindringung gegen das nationale Netz stellt eine eskalierende Bedrohung für die kritische Infrastruktur anderer Organisationen dar, die potenziell erheblichen wirtschaftlichen Schaden verursachen kann, insbesondere in Zeiten politischer Instabilität.
Das offensive Toolkit, das von Redfly eingesetzt wird, umfasst die erweiterte ShadowPad-Interaktion mit den bösartigen Komponenten, die als VMware-Dateien getarnt sind und nachfolgend auf dem kompromittierten System bereitgestellt werden. ShadowPad erlangt Persistenz, indem relevante Dienste generiert werden, die darauf abzielen, die bösartigen EXE- und DLL-Dateien beim Systemsetup auszuführen.
Darüber hinaus nutzt Redfly ein Keylogging-Utility, das dazu dient, erfasste Tastenanschläge in Protokolldateien auf den gezielten Instanzen zu speichern, zusammen mit Packerloader, das dazu vorgesehen ist, Shellcode zu laden und auszuführen. Letzterer wird unter Verwendung der AES-Verschlüsselung gespeichert, die es Angreifern ermöglicht, der Erkennung zu entkommen und beliebige Dateien oder Befehle auf den anfälligen Geräten zu starten. Redfly wurde auch beim Einsatz von PowerShell beobachtet, um Befehle auszuführen, die es ihnen ermöglichen, Informationen über die Speichergeräte zu sammeln, die mit dem kompromittierten System verbunden sind. Um sich seitwärts zu bewegen, nutzten die Angreifer die DLL-Seitenladetechnik, geplante Aufgaben zur Ausführung legitimer Binärdateien und gestohlene Benutzeranmeldedaten. Redfly verwendete auch eine umbenannte Version des ProcDump-Befehlszeilenprogramms, um Anmeldedaten aus LSASS zu extrahieren und diese weiter zur Authentifizierung auf anderen Instanzen innerhalb des Netzwerks zu verwenden.
Der Angriff von Redfly auf eine asiatische Stromnetzorganisation ist der neueste in einer Welle von Cyber-Spionageangriffen gegen kritische Infrastrukturen. Ende Frühjahr 2023 haben die US-amerikanischen und internationalen Cybersicherheitsbehörden eine gemeinsame Warnung herausgegeben über die eskalierenden Risiken von China-unterstützter APT-Aktivität, die auf die nationale kritische Infrastruktur abzielt, mit der Erweiterung der Angriffsfläche im globalen Maßstab. Der jüngste Einbruch durch Redfly zusammen mit den vorherigen Kampagnen, die in der gemeinsamen Empfehlung behandelt wurden, erfordert eine ultra-reaktionsschnelle Antwort von den Verteidigern, um die Bedrohung rechtzeitig zu identifizieren und ihre Auswirkungen abzuschwächen.
SOC Prime kuratiert die weltweit größte Wissensbasis der neuesten Bedrohungsinformationen im Zusammenhang mit MITRE ATT&CK, 500+ Sigma-Regeln für APT-Erkennung, Schwachstellausnutzung und Minderungshinweise, die mit sub-sekundärer Geschwindigkeit durchsuchbar sind. Durchsuchen Sie SOC Prime, um potenzielle Eindringversuche proaktiv zu erkennen und relevante Bedrohungsinformationen zur Beseitigung der Risiken zu nutzen, bevor Angreifer zuschlagen können.
