Rilevamento del Trojan ShadowPad: Gli Hacker Redfly Applicano un Nefasto RAT per Colpire l’Organizzazione della Rete Elettrica Nazionale in Asia
Indice:
backdoor ShadowPad è popolare tra diversi APT sponsorizzati dallo Stato, inclusi gruppi di hacking collegati alla Cina, ampiamente usato nelle loro campagne di cyber spionaggio. Un nefando gruppo di cyber spionaggio noto come Redfly ha sfruttato le capacità offensive di ShadowPad colpendo l’organizzazione della rete elettrica statale dell’Asia per mezzo anno.
Rilevamento del Trojan Shadowpad
La crescente minaccia degli attacchi APT nazionali rappresenta un pericolo crescente per il settore delle infrastrutture critiche. Da quando il malware Industroyer di Sandworm è stato scoperto essere usato negli attacchi contro la rete elettrica ucraina nel 2017, gli attori governativi hanno sviluppato nuovi approcci per penetrare e interrompere le strutture delle infrastrutture critiche.
Per identificare e difendersi proattivamente contro possibili attacchi che si basano sul Trojan ShadowPad usato da Redfly APT per prendere di mira la rete elettrica asiatica, la piattaforma SOC Prime aggrega un insieme di regole Sigma curate e compatibili con 28 piattaforme SIEM, EDR, XDR e Data Lake.
Questa regola del nostro esperto sviluppatore Threat Bounty Mustafa Gurkan Karakaya rileva la possibile esecuzione di PackerLoader tramite rundll attraverso la rilevazione del comando associato. L’algoritmo di rilevamento è compatibile con 24 formati tecnologici affrontando tattiche di Esecuzione e Interpreter di Comandi e Script come tecnica corrispondente.
Possibile attività di persistenza del Trojan ShadowPad attraverso la creazione di servizio da parte del gruppo Redfly (via sicurezza)
Questa regola di Mustafa Gurkan Karakaya rileva la possibile attività persistente del gruppo Redfly creando un servizio associato. L’algoritmo di rilevamento è compatibile con 18 formati tecnologici ed è arricchito con ampi metadati insieme a link CTI.
Per ottenere l’intero stack di rilevamento che aiuta a identificare l’attività dannosa collegata al Trojan ShadowPad, premi il pulsante Esplora qui sotto. Tutte le regole Sigma sono mappate al framework MITRE ATT&CK e arricchite con riferimenti di intelligence sulle minacce per facilitare l’indagine sulle minacce.
Desideroso di cacciare le minacce e condividere la tua esperienza con i colleghi? Unisciti al nostro programma Threat Bounty e partecipa all’iniziativa di crowdsourcing sulla creazione di regole Sigma. Migliora le tue capacità di threat hunting e di ingegneria del rilevamento, collega con esperti del settore, espandi i tuoi orizzonti professionali e guadagna denaro per il tuo contributo.
Analisi del Trojan Shadowpad
ShadowPad RAT è un avanzato backdoor modulare progettato come la prossima iterazione di malware PlugX. ShadowPad può vantare molteplici capacità sofisticate ed è diventato popolare tra le collettività di hacker grazie alla sua convenienza economica. Gli avversari applicano questo Trojan per distribuire payload malevoli, stabilire e mantenere la comunicazione C2 e modificare i plugin. Il malware ShadowPad è stato frequentemente osservato in attacchi collegati ai gruppi APT cinesi, permettendo agli avversari di mantenere una presenza a lungo termine nelle reti compromesse.
L’ultima campagna mirata all’organizzazione della rete elettrica nazionale in Asia condivide strumenti e infrastrutture simili con gli attacchi precedenti collegati al cluster di attività APT41. I ricercatori di Symantec tengono traccia di un insieme di avversari dietro il relativo cluster offensivo noto con gli pseudonimi Blackfly e Grayfly. Tuttavia, Symantec distingue una collettività di hacking separata dietro l’ultima attività avversaria, Redfly, con le infrastrutture nazionali critiche come obiettivo principale.
I ricercatori hanno osservato la presenza a lungo termine del malware ShadowPad nella rete compromessa dell’organizzazione bersaglio per un periodo di sei mesi. L’intrusione persistente contro la rete nazionale rappresenta una minaccia crescente per l’infrastruttura critica di altre organizzazioni, con potenziali danni economici significativi, specialmente in periodi di instabilità politica.
La cassetta degli attrezzi offensiva sfruttata da Redfly coinvolge l’interazione migliorata di ShadowPad con i componenti malevoli mascherati da file VMware che sono ulteriormente distribuiti sul sistema compromesso. ShadowPad guadagna persistenza generando servizi rilevanti che sono destinati a eseguire i file EXE e DLL malevoli all’avvio del sistema.
Inoltre, Redfly sfrutta un’utility keylogging utilizzata per memorizzare i tasti catturati in log file sugli istanze bersaglio insieme a Packerloader, che è destinato a caricare ed eseguire il codice shell. Quest’ultimo è memorizzato usando la crittografia AES permettendo agli avversari di eludere il rilevamento e lanciare file o comandi arbitrari sui dispositivi vulnerabili. Redfly è stata anche osservata applicare PowerShell per eseguire comandi permettendo loro di raccogliere informazioni sui dispositivi di archiviazione collegati al sistema compromesso. Per muoversi lateralmente, gli avversari hanno sfruttato la tecnica DLL side-loading, task pianificati per eseguire binari legittimi e credenziali utente rubate. Redfly ha usato anche una versione rinominata dell’utility ProcDump per rilasciare credenziali da LSASS e applicarle ulteriormente per l’autenticazione su altre istanze all’interno della rete.
L’attacco di Redfly mirato a un’organizzazione della rete elettrica asiatica è l’ultimo di una serie di attacchi di cyberespionaggio contro infrastrutture critiche. A fine primavera 2023, le autorità di cybersecurity statunitensi e internazionali hanno rilasciato un avviso congiunto che copre i rischi crescenti dell’attività APT sostenuta dalla Cina che prende di mira le infrastrutture critiche nazionali, con l’espansione della superficie di attacco su scala globale. L’ultima intrusione di Redfly insieme alle precedenti campagne coperte nell’avviso congiunto richiede un’ultra-responsività da parte dei difensori per identificare tempestivamente la minaccia e rimediare il suo impatto.
SOC Prime cura la più grande base di conoscenza al mondo delle ultime intelligenza sulle minacce collegata a MITRE ATT&CK, 500+ regole Sigma per il rilevamento APT, sfruttamento delle vulnerabilità e linee guida per la mitigazione ricercabili a prestazioni sub-second. Esplora SOC Prime per rilevare proattivamente potenziali intrusioni ed esplora i CTI rilevanti per eliminare i rischi prima che gli avversari abbiano la possibilità di colpire.
