Detecção de Trojan ShadowPad: Hackers Redfly Aplicam um RAT Nefasto para Atingir uma Organização de Rede Elétrica Nacional na Ásia
Índice:
Backdoor ShadowPad é popular entre múltiplos APTs apoiados por estados, incluindo grupos de hackers ligados à China, amplamente utilizado em suas campanhas de ciberespionagem. Um grupo nefasto de ciberespionagem conhecido como Redfly aproveitou-se das capacidades ofensivas do ShadowPad para atacar a organização da rede elétrica estatal da Ásia por meio ano.
Detecção do Trojan ShadowPad
A ameaça crescente dos ataques APT de estados-nação representa um perigo crescente para o setor de infraestrutura crítica. Desde que o malware Industroyer pelo Sandworm foi descoberto sendo usado em ataques contra a rede elétrica ucraniana em 2017, atores apoiados por estados desenvolveram novas abordagens para penetrar e interromper instalações de infraestrutura crítica.
Para identificar e defender proativamente contra possíveis ataques que dependem do Trojan ShadowPad usado pelo Redfly APT para alvejar a rede elétrica da Ásia, a Plataforma SOC Prime agrega um lote de regras Sigma curadas compatíveis com 28 plataformas SIEM, EDR, XDR e Data Lake.
Esta regra por nosso desenvolvedor experiente de Bounty de Ameaças Mustafa Gurkan Karakaya detecta possível execução do PackerLoader via rundll pela detecção do comando associado. O algoritmo de detecção é compatível com 24 formatos de tecnologia enquanto aborda táticas de Execução e Técnicas de Comando e Interpretação de Scripts correspondentes.
Possível Atividade de Persistência do Trojan ShadowPad Através da Criação de Serviço Pelo Grupo Redfly (via segurança)
Esta regra por Mustafa Gurkan Karakaya detecta a possível atividade persistente do grupo Redfly ao criar um serviço associado. O algoritmo de detecção é compatível com 18 formatos de tecnologia e enriquecido com metadados extensivos juntamente com links CTI.
Para obter a pilha completa de detecção que ajuda a identificar atividade maliciosa ligada ao Trojan ShadowPad, clique no botão Explorar abaixo. Todas as regras Sigma são mapeadas para o framework MITRE ATT&CK e enriquecidas com referências de inteligência de ameaças para agilizar a investigação de ameaças.
Ansioso para caçar ameaças e compartilhar sua expertise com pares? Junte-se ao nosso Programa de Bounty de Ameaças e participe da iniciativa de crowdsourcing na criação de regras Sigma. Melhore suas habilidades de caçar ameaças e engenharia de detecção, conecte-se com especialistas do setor, expanda seus horizontes profissionais e ganhe dinheiro por sua contribuição.
Análise do Trojan ShadowPad
O ShadowPad RAT é um backdoor modular avançado projetado como a próxima iteração do malware PlugX.O ShadowPad possui múltiplas capacidades sofisticadas e ganhou popularidade entre os coletivos de hackers devido ao seu custo-benefício. Os adversários aplicam este Trojan para implantar cargas maliciosas, estabelecer e manter comunicação C2 e modificar plugins. O malware ShadowPad foi frequentemente observado em ataques ligados a grupos APT chineses, permitindo aos adversários manter uma presença a longo prazo em redes violadas.
A mais recente campanha visando a organização nacional da rede elétrica na Ásia compartilha ferramentas e infraestrutura semelhantes com ataques anteriores ligados ao cluster de atividade APT41. Pesquisadores de cibersegurança da Symantec acompanham um conjunto de adversários por trás do cluster ofensivo relevante conhecido pelos monikers Blackfly e Grayfly. No entanto, a Symantec distingue um coletivo de hackers separado por trás da última atividade adversária, Redfly, com a infraestrutura crítica nacional sendo seu principal alvo.
Pesquisadores observaram a presença a longo prazo do malware ShadowPad na rede violada da organização alvo cobrindo um período de seis meses. A intrusão persistente contra a rede nacional representa uma ameaça crescente à infraestrutura crítica de outras organizações, potencialmente resultando em danos econômicos significativos, especialmente durante períodos de instabilidade política.
O kit de ferramentas ofensivo utilizado pelo Redfly envolve a interação aprimorada do ShadowPad com os componentes maliciosos disfarçados como arquivos VMware, que são posteriormente implantados no sistema comprometido. O ShadowPad ganha persistência gerando serviços relevantes que estão destinados a executar os arquivos EXE e DLL maliciosos na configuração do sistema.
Além disso, o Redfly tira proveito de uma utilidade de keylogging usada para armazenar as teclas capturadas em arquivos de log nas instâncias alvo juntamente com o Packerloader, que é destinado a carregar e executar shellcode. Este último é armazenado usando criptografia AES, permitindo que adversários evitem a detecção e iniciem arquivos ou comandos arbitrários nos dispositivos vulneráveis. O Redfly também foi observado aplicando o PowerShell para executar comandos que lhes permitam coletar informações sobre os dispositivos de armazenamento ligados ao sistema comprometido. Para mover lateralmente, os adversários utilizaram a técnica de DLL side-loading, tarefas agendadas para executar binários legítimos e credenciais de usuário roubadas. O Redfly também usou uma versão renomeada da utilidade de linha de comando ProcDump para despejar credenciais do LSASS e aplicá-las para autenticação em outras instâncias dentro da rede.
O ataque do Redfly visando uma organização de rede elétrica na Ásia é o mais recente em uma série de ataques de ciberespionagem contra infraestrutura crítica. No final da primavera de 2023, as autoridades de cibersegurança dos EUA e internacionais lançaram um alerta conjunto cobrindo os riscos crescentes da atividade APT apoiada pela China visando a infraestrutura crítica nacional, com a expansão da superfície de ataque em escala global. A mais recente intrusão do Redfly, juntamente com as campanhas anteriores cobertas no comunicado conjunto, requer responsividade ultraeficiente dos defensores para identificar oportunamente a ameaça e mitigar seu impacto.
A SOC Prime curadoria a maior base de conhecimento do mundo das últimas inteligências de ameaças ligadas ao MITRE ATT&CK, 500+ regras Sigma para detecção de APT, exploração de vulnerabilidades e orientação de mitigação pesquisável com desempenho sub-segundo. Navegue na SOC Prime para detectar proativamente possíveis intrusões e explorar o CTI relevante para eliminar os riscos antes que os adversários tenham a chance de atacar.
