Détection du Cheval de Troie ShadowPad : Les Hackers de Redfly Utilisent un RAT Néfaste pour Atteindre une Organisation de Réseau Électrique National en Asie

Porte dérobée ShadowPad est populaire parmi plusieurs APT soutenues par des États, y compris les groupes de hackers liés à la Chine, largement utilisés dans leurs campagnes de cyberespionnage. Un groupe de cyberespionnage néfaste connu sous le nom de Redfly a tiré parti des capacités offensives de ShadowPad en ciblant l’organisation du réseau électrique d’État d’Asie pendant un semestre.

Détection du Trojan Shadowpad

La menace croissante des attaques APT d’États-nations pose un danger croissant pour le secteur des infrastructures critiques. Depuis que le malware Industroyer de Sandworm a été découvert comme étant utilisé dans des attaques contre le réseau électrique ukrainien en 2017, les acteurs soutenus par les États ont développé de nouvelles approches pour pénétrer et perturber les installations d’infrastructures critiques.

Pour identifier et se défendre de manière proactive contre les attaques possibles en s’appuyant sur le Trojan ShadowPad utilisé par Redfly APT pour cibler le réseau électrique d’Asie, SOC Prime Platform agrège un ensemble de règles Sigma sélectionnées compatibles avec 28 plateformes SIEM, EDR, XDR, et Data Lake.

Exécution possible de PackerLoader pour exécuter du shellcode par détection de la commande associée (via process_creation)

Cette règle de notre développeur expérimenté Threat Bounty Mustafa Gurkan Karakaya détecte une exécution possible de PackerLoader via rundll par détection de la commande associée. L’algorithme de détection est compatible avec 24 formats technologiques tout en abordant les tactiques d’exécution et l’interprète de commandes et de scripts en tant que technique correspondante.

Activité de persistance possible du Trojan ShadowPad par Redfly Group via la création de service (via la sécurité)
Cette règle de Mustafa Gurkan Karakaya détecte l’activité persistante possible du groupe Redfly en créant un service associé. L’algorithme de détection est compatible avec 18 formats technologiques et enrichi de métadonnées extensives ainsi que de liens CTI.

Pour obtenir l’ensemble complet de détection aidant à identifier l’activité malveillante liée au Trojan ShadowPad, appuyez sur le bouton Explorer ci-dessous. Toutes les règles Sigma sont mappées au framework MITRE ATT&CK et enrichies de références de renseignements sur les menaces pour rationaliser l’investigation des menaces.

Explorer les détections

Désireux de chasser les menaces et de partager votre expertise avec vos pairs ? Rejoignez notre programme Threat Bounty et participez à l’initiative de crowdsourcing sur la création de règles Sigma. Améliorez vos compétences en chasse aux menaces et en ingénierie de détection, réseautage avec des experts de l’industrie, élargissez vos horizons professionnels, et gagnez de l’argent pour votre contribution.

Analyse du Trojan Shadowpad

ShadowPad RAT est une porte dérobée modulaire avancée conçue comme la prochaine itération du malware PlugX. ShadowPad peut se vanter de multiples capacités sophistiquées et a gagné en popularité parmi les groupes de hackers en raison de sa rentabilité. Les adversaires appliquent ce Trojan pour déployer des charges malveillantes, établir et maintenir la communication C2, et modifier les plugins. Le malware ShadowPad a fréquemment été observé dans des attaques liées à des groupes APT chinois permettant aux adversaires de maintenir une présence à long terme dans les réseaux piratés.

La dernière campagne visant l’organisation du réseau électrique national en Asie partage des outils et infrastructures similaires avec les attaques antérieures liées au cluster de l’activité APT41. Les chercheurs en cybersécurité chez Symantec suivent un ensemble d’adversaires derrière le cluster offensif pertinent connu sous les pseudonymes Blackfly et Grayfly. Cependant, Symantec distingue un collectif de hackers séparé derrière la dernière activité de l’adversaire, Redfly, ayant pour cible principale les infrastructures nationales critiques.

Les chercheurs ont observé la présence à long terme du malware ShadowPad dans le réseau piraté de l’organisation ciblée couvrant une période de six mois. L’intrusion persistante contre le réseau national pose une menace croissante pour les infrastructures critiques d’autres organisations, pouvant entraîner des dommages économiques significatifs, notamment en période d’instabilité politique.

L’outil offensif utilisé par Redfly implique l’interaction améliorée de ShadowPad avec les composants malveillants déguisés en fichiers VMware qui sont ensuite déployés sur le système compromis. ShadowPad obtient une persistance en générant les services pertinents destinés à exécuter les fichiers EXE et DLL malveillants lors de la configuration du système.

De plus, Redfly exploite un utilitaire de keylogging utilisé pour stocker les frappes capturées dans des fichiers journaux sur les instances ciblées avec Packerloader, qui est destiné à charger et exécuter du shellcode. Ce dernier est stocké en utilisant le cryptage AES permettant aux adversaires d’éviter la détection et de lancer des fichiers ou des commandes arbitraires sur les appareils vulnérables. Redfly a également été remarqué en utilisant PowerShell pour exécuter des commandes leur permettant de collecter des informations sur les appareils de stockage liés au système compromis. Pour se déplacer latéralement, les adversaires ont utilisé la technique de chargement délibéré de DLL, des tâches planifiées pour exécuter des binaires légitimes, et des identifiants d’utilisateur volés. Redfly a également utilisé une version renommée de l’utilitaire de ligne de commande ProcDump pour extraire les identifiants de LSASS et les appliquer pour l’authentification sur d’autres instances au sein du réseau.

L’attaque de Redfly ciblant une organisation du réseau électrique en Asie est la dernière d’une vague d’attaques de cyberespionnage contre des infrastructures critiques. À la fin du printemps 2023, les autorités américaines et internationales en cybersécurité ont publié une alerte conjointe couvrant les risques croissants de l’activité APT soutenue par la Chine ciblant l’infrastructure critique nationale, avec l’expansion de la surface d’attaque à l’échelle mondiale. La dernière intrusion de Redfly ainsi que les campagnes précédentes couvertes dans l’avis conjoint exigent une ultra-réactivité de la part des défenseurs pour identifier à temps la menace et remédier à son impact.

SOC Prime organise la plus grande base de connaissances mondiale des dernières informations sur les menaces liées à MITRE ATT&CK, plus de 500 règles Sigma pour la détection des APT, l’exploitation des vulnérabilités et les conseils d’atténuation recherchables avec des performances inférieures à la seconde. Parcourez SOC Prime pour détecter de manière proactive les intrusions potentielles et plonger dans les CTI pertinents pour éliminer les risques avant que les adversaires n’aient une chance de frapper.