Detección del Troyano ShadowPad: Hackers de Redfly Aplican un RAT Nefasto para Atacar una Organización de la Red Eléctrica Nacional en Asia
Tabla de contenidos:
Puerta trasera ShadowPad es popular entre múltiples APTs respaldados por estados, incluidos los grupos de hackers vinculados a China, ampliamente utilizada en sus campañas de ciberespionaje. Un grupo nefasto de ciberespionaje conocido como Redfly ha aprovechado las capacidades ofensivas de ShadowPad para atacar la organización de la red eléctrica estatal de Asia durante medio año.
Detección de troyano Shadowpad
La creciente amenaza de ataques APT de estados nación representa un peligro creciente para el sector de infraestructura crítica. Desde que se descubrió el malware Industroyer por Sandworm fue utilizado en ataques contra la red eléctrica de Ucrania en 2017, los actores respaldados por estados han desarrollado enfoques novedosos para penetrar y perturbar las instalaciones de infraestructura crítica.
Para identificar y defenderse proactivamente contra posibles ataques que dependen del troyano ShadowPad utilizado por Redfly APT para apuntar a la red eléctrica de Asia, la Plataforma SOC Prime agrega un conjunto de reglas Sigma curadas compatibles con 28 plataformas SIEM, EDR, XDR y Data Lake.
Esta regla de nuestro experimentado desarrollador de Threat Bounty Mustafa Gurkan Karakaya detecta la posible ejecución de PackerLoader a través de rundll mediante la detección del comando asociado. El algoritmo de detección es compatible con 24 formatos tecnológicos mientras aborda las tácticas de Ejecución y el Intérprete de Comandos y Scripts como técnica correspondiente.
Posible actividad de persistencia de troyano ShadowPad mediante la creación de servicio por el grupo Redfly (a través de seguridad)
Esta regla de Mustafa Gurkan Karakaya detecta la posible actividad persistente del grupo Redfly mediante la creación de un servicio asociado. El algoritmo de detección es compatible con 18 formatos tecnológicos y está enriquecido con metadatos extensos junto con enlaces CTI.
Para obtener el conjunto completo de detección que ayuda a identificar la actividad maliciosa vinculada al troyano ShadowPad, haga clic en el botón Explorar a continuación. Todas las reglas Sigma están mapeadas al marco MITRE ATT&CK y enriquecidas con referencias de inteligencia de amenazas para agilizar la investigación de amenazas.
¿Deseas cazar amenazas y compartir tu experiencia con tus colegas? Únete a nuestro Programa Threat Bounty y participa en la iniciativa de crowdsourcing sobre la creación de reglas Sigma. Mejora tus habilidades en caza de amenazas e ingeniería de detección, conecta con expertos de la industria, amplía tus horizontes profesionales y gana dinero por tu contribución.
Análisis del troyano Shadowpad
ShadowPad RAT es una puerta trasera modular avanzada diseñada como la siguiente iteración de malware PlugX. ShadowPad puede presumir de múltiples capacidades sofisticadas y ha ganado popularidad entre colectivos de hackers debido a su rentabilidad. Los adversarios aplican este troyano para desplegar cargas maliciosas, establecer y mantener la comunicación C2, y modificar complementos. El malware ShadowPad ha sido observado frecuentemente en ataques vinculados a grupos APT chinos, lo que permite a los adversarios mantener una presencia a largo plazo en las redes comprometidas.
La última campaña que apunta a la organización de la red eléctrica nacional en Asia comparte herramientas e infraestructura similares con los ataques anteriores vinculados al grupo de actividad APT41. Investigadores de ciberseguridad de Symantec rastrean un conjunto de adversarios detrás del grupo ofensivo relevante conocido bajo los sobrenombres Blackfly y Grayfly. Sin embargo, Symantec distingue un colectivo de hackers separado detrás de la actividad adversaria más reciente, Redfly, siendo la infraestructura crítica nacional su objetivo clave.
Los investigadores observaron la presencia a largo plazo del malware ShadowPad en la red comprometida de la organización objetivo durante un período de seis meses. La persistente intrusión contra la red nacional representa una amenaza creciente para la infraestructura crítica de otras organizaciones, lo que podría resultar en un daño económico significativo, especialmente durante períodos de inestabilidad política.
El kit de herramientas ofensivo utilizado por Redfly involucra la interacción mejorada de ShadowPad con los componentes maliciosos disfrazados como archivos de VMware que se despliegan posteriormente en el sistema comprometido. ShadowPad gana persistencia generando servicios relevantes destinados a ejecutar los archivos EXE y DLL maliciosos al configurar el sistema.
Además, Redfly aprovecha una utilidad de captación de teclas utilizada para almacenar las pulsaciones de teclas capturadas en archivos de registro en las instancias objetivo junto con Packerloader, que está diseñado para cargar y ejecutar shellcode. Este último se almacena utilizando encriptación AES permitiendo a los adversarios evadir la detección y lanzar archivos o comandos arbitrarios en los dispositivos vulnerables. Redfly también ha sido notado aplicando PowerShell para ejecutar comandos que les habilitan a recopilar información sobre los dispositivos de almacenamiento vinculados al sistema comprometido. Para moverse lateralmente, los adversarios utilizaron la técnica de DLL side-loading, tareas programadas para ejecutar binarios legítimos y credenciales de usuario robadas. Redfly también utilizó una versión renombrada de la utilidad de línea de comandos ProcDump para volcar credenciales desde LSASS y aplicarlas posteriormente para autenticación en otras instancias dentro de la red.
El ataque de Redfly que apunta a una organización de la red eléctrica de Asia es el último en una ola de ataques de ciberespionaje contra infraestructura crítica. A finales de la primavera de 2023, las autoridades de ciberseguridad de EE.UU. e internacionales emitieron una alerta conjunta que abarca los riesgos crecientes de la actividad APT respaldada por China que apunta a la infraestructura crítica nacional, con la expansión de la superficie de ataque a escala global. La última intrusión de Redfly junto con las campañas anteriores cubiertas en el aviso conjunto requiere ultra-responsabilidad de los defensores para identificar oportunamente la amenaza y remediar su impacto.
SOC Prime selecciona la base de conocimiento más grande del mundo de la última inteligencia de amenazas vinculada al marco MITRE ATT&CK, 500+ reglas Sigma para la detección de APT, explotación de vulnerabilidades y orientación para la mitigación, buscando a un rendimiento inferior al segundo. Navega en SOC Prime para detectar proactivamente posibles intrusiones y sumérgete en CTI relevante para eliminar los riesgos antes de que los adversarios tengan la oportunidad de atacar.
