ShadowPad トロイの木馬検出：Redflyハッカーがアジアの国家電力網組織を攻撃するための悪意のあるRATを適用

ShadowPad バックドア 中国関連のハッキンググループを含む複数の国家支援APTに人気があり、サイバースパイキャンペーンで広く使用されています。レッドフライという悪意のあるサイバー スパイグループは、シャドウパッドの攻撃能力を利用し、半年間にわたりアジアの国家電力網組織を標的としています。

Shadowpad トロイの木馬の検出

国家支援APT攻撃の脅威の増大は、重要なインフラストラクチャ部門にとってますます大きな脅威をもたらしています。以来、 Sandworm によって発見された Industroyer マルウェアが 2017年にウクライナの電力網に対する攻撃で使用されて以来、国家支援の攻撃者は重要なインフラ施設に潜入し混乱を引き起こすための新しいアプローチを開発しています。

Redfly APT が使用する ShadowPad トロイを使用したアジアの電力網を標的とする攻撃を特定し、積極的に防御するために、SOC Prime プラットフォームは 28 の SIEM、EDR、XDR、およびデータレイク プラットフォームと互換性のある一連の精選された Sigma ルールを集約しています。

関連するコマンドの検出（プロセス作成経由）によるシェルコード実行のための PackerLoader の実行の可能性

当社の経験豊富なスレットバウンティ開発者によるこのルール ムスタファ・ギュルカン・カラカヤ は、関連するコマンドの検出による rundll 経由での PackerLoader の実行の可能性を検出します。この検出アルゴリズムは、実行戦術と対応技術としてのコマンドおよびスクリプトインタープリターを扱い、24の技術フォーマットと互換性があります。

サービスの作成を通じた Redfly グループによる ShadowPad トロイの永続性活動の可能性（セキュリティ経由）
ムスタファ・ギュルカン・カラカヤによるこのルールは、関連するサービスを作成することで、Redfly グループの可能な持続活動を検出します。検出アルゴリズムは18の技術フォーマットと互換性があり、豊富なメタデータとCTIリンクが付加されています。

ShadowPad トロイに関連する悪意のある活動の特定を支援する完全な検出スタックを入手するには、以下の「探索」ボタンをクリックしてください。すべての Sigma ルールは MITRE ATT&CK フレームワークにマッピングされており、脅威調査を合理化するために脅威インテリジェンスの参照が付加されています。

検出を探索する

脅威を狩り、仲間と専門知識を共有したいですか？ 私たちの脅威バウンティプログラムに参加する Sigma ルールの作成に関するクラウドソーシングイニシアチブに参加し、脅威ハンティングと検出エンジニアリングのスキルを向上させ、業界の専門家とネットワークし、専門的な視野を広げ、寄与に対して報酬を得てください。

Shadowpad トロイの分析

ShadowPad RAT は、PlugX マルウェアの次のイテレーションとして設計された、高度なモジュラー型バックドアです。 ShadowPad は多くの洗練された機能を誇り、費用対効果の高さからハッキング集団の間で人気があります。敵対者は、このトロイの木馬を使用して悪意のあるペイロードを配備し、C2通信を確立維持し、プラグインを変更します。ShadowPad マルウェアは、中国の APT グループに関連する攻撃で頻繁に観測されており、攻撃者が侵害されたネットワークに長期的に存在することを可能にしています。. ShadowPad can boast multiple sophisticated capabilities and has gained in popularity among hacking collectives due to its cost-effectiveness. Adversaries apply this Trojan to deploy malicious payloads, establish and maintain C2 communication, and modify plugins. ShadowPad malware has frequently been observed in attacks linked to Chinese APT groups enabling adversaries to maintain long-term presence in breached networks. 

アジアの国家電力網組織を標的とした最新のキャンペーンは、 APT41活動のクラスターに関連する以前の攻撃と同様のツールとインフラを共有しています。サイバーセキュリティ Symantec の研究者たちは、 ブラックフライとグレイフライという異名で知られる関連する攻撃的クラスターの背後にいる敵を追跡しています。しかし、Symantec は、最新の敵対的活動の背後にある別のハッキング集団、Redfly を区別しており、重要な国家インフラストラクチャをその主要な標的としています。

研究者たちは、標的組織の侵害されたネットワークにおける ShadowPad マルウェアの長期的な存在を6か月間にわたって観察しました。国家電力網への持続的侵入は、他の組織の重要なインフラに対するエスカレートする脅威をもたらし、特に政治的不安定な時期には重大な経済的損害を引き起こす可能性があります。

Redfly によって使用される攻勢ツールキットは、侵害されたシステムにさらに展開される VMware ファイルに偽装された悪意のあるコンポーネントと協力して、改善された ShadowPad が関与しています。ShadowPad は、システムセットアップ時に悪意のある EXE と DLL ファイルを実行するように設計された関連サービスを生成することによって永続性を獲得します。

さらに、Redfly は、ターゲット インスタンスのログ ファイルに記録されたキーストロークを保存するキーロギング ユーティリティを利用し、シェルコードをロードして実行するための Packerloader を利用しています。後者は AES 暗号化を使用して保存され、敵対者が検出を回避し、脆弱なデバイスに任意のファイルやコマンドを実行できるようにします。また、Redfly が PowerShell を使用してコマンドを実行し、侵害されたシステムにリンクされたストレージデバイスに関する情報を収集することも観察されています。側面移動するために、敵対者は DLL サイドローディング技術を利用し、正規のバイナリを実行するための予定されたタスクおよび盗まれたユーザー資格情報を使用しました。Redfly はまた、LSASS から資格情報をダンプし、ネットワーク内の他のインスタンスで認証に使用するために ProcDump コマンドライン ユーティリティをリネームしたバージョンを使用しました。

アジアの電力網組織を標的とした Redfly の攻撃は、重要インフラを標的としたサイバースパイ攻撃の波の最新事例です。2023年春の終わりに、米国および国際サイバーセキュリティ当局が 共同警報を発表しました 国家の重要インフラストラクチャを標的とする中国支援 APT 活動のリスクの高まりをカバーし、グローバル規模での攻撃面の拡大を示しました。Redfly による最近の侵入に加え、共同勧告でカバーされた以前のキャンペーンは、脅威をタイムリーに特定し、その影響を軽減するための超応答を防御者に求めています。

SOC Prime は、最新の MITRE ATT&CK に関連する脅威インテリジェンス、 APT 検出のための 500 以上の Sigma ルール、 脆弱性の悪用、および軽減ガイダンスの世界最大の知識ベースをキュレートしています。SOC Prime を使用して潜在的な侵入を積極的に検出し、関連する CTI に深く入り込んで、敵対者が攻撃を開始する前にリスクを排除してください。