Ερευνητές της εταιρείας ασφάλειας στον κυβερνοχώρο SentinelOne παρατήρησαν μια κινεζική ομάδα hacking που ακολουθούσε μια προσέγγιση δοκιμής και σφάλματος για την κατάχρηση εφαρμογών προστασίας από ιούς για την παράπλευρη φόρτωση κακόβουλων DLL.
Η παρατηρούμενη δραστηριότητα, την οποία το SentinelOne’s SentinelLabs παρακολουθεί ως Moshen Dragon, συμπίπτει εν μέρει με τον παράγοντα απειλών γνωστό ως Calypso, RedFoxtrot και Nomad Panda, ο οποίος στοχεύει ενεργά οντότητες στη Νότια Ασία με γνωστές οικογένειες κακόβουλου λογισμικού.
Ως μέρος των επιθέσεων που παρατηρήθηκαν, οι οποίες στόχευαν τον τομέα των τηλεπικοινωνιών στην περιοχή, ο αντίπαλος χρησιμοποίησε εργαλεία, τεχνικές και διαδικασίες (TTP) που συνήθως σχετίζονται με Κινέζους χάκερ, καθώς και κατάχρηση λύσεων κυβερνοασφάλειας για εκτέλεση κακόβουλου λογισμικού.
Ο Moshen Dragon, σημειώνει η SentinelLabs σε μια νέα αναφορά, προσπάθησε επανειλημμένα να παρακάμψει τον εντοπισμό, κάνοντας κατάχρηση εφαρμογών ασφαλείας από τα Bitdefender, Kaspersky, McAfee, Symantec και Trend Micro για την παράπλευρη φόρτωση παραλλαγών κακόβουλου λογισμικού ShadowPad και PlugX.
Το διάνυσμα επίθεσης βασίζεται στην πειρατεία παραγγελιών αναζήτησης DLL, ένα ελάττωμα σχεδιασμού στα Windows, αντί να αξιοποιεί ευπάθειες στα στοχευμένα προϊόντα ασφαλείας.
Εκτός από το ShadowPad και το PlugX, ο αντίπαλος παρατηρήθηκε να αναπτύσσει διάφορα άλλα εργαλεία, συμπεριλαμβανομένου ενός για συλλογή διαπιστευτηρίων και ενός παθητικού φορτωτή που ονομάζεται GUNTERS.
«Παρά όλη αυτή την ορατότητα, δεν είμαστε ακόμα σε θέση να προσδιορίσουμε τον κύριο φορέα μόλυνσης. Οι συντονισμένες προσπάθειές τους περιλαμβάνουν τη χρήση γνωστών εργαλείων hacking, κόκκινων σεναρίων ομάδας και απόπειρες πλευρικής κίνησης και εξαγωγής δεδομένων στο πληκτρολόγιο», λέει η SentinelLabs.
Αυτό που κάνει το Moshen Dragon να ξεχωρίζει στο πλήθος είναι η συστηματική κατάχρηση προϊόντων ασφαλείας για παράπλευρη φόρτωση DLL: ένα DLL που έχει παραβιαστεί χρησιμοποιείται για την αποκρυπτογράφηση και τη φόρτωση ενός ωφέλιμου φορτίου που είναι αποθηκευμένο σε διαφορετικό αρχείο.
Για πλευρική κίνηση, ο αντίπαλος πιθανότατα χρησιμοποιεί το Impacket – μια συλλογή κλάσεων Python, συμπεριλαμβανομένου ενός εργαλείου για απομακρυσμένη εκτέλεση κώδικα μέσω WMI – και δημιουργεί προγραμματισμένες εργασίες ή υπηρεσίες για να διασφαλίσει τη διατήρηση ορισμένων ωφέλιμων φορτίων.
Η άκρως στοχευμένη κερκόπορτα GUNTERS που έχει χρησιμοποιήσει ο Moshen Dragon σε ορισμένες επιθέσεις – πιθανότατα αναπτύσσεται ως διαφορετικό DLL σε κάθε μηχανή – είναι ένας παθητικός φορτωτής που χρησιμοποιεί το WinDivert για την παρακολούθηση της εισερχόμενης κίνησης, αναζητώντας μια μαγική συμβολοσειρά για την έναρξη της αποκρυπτογράφησης ενός αρχείου PE.
Το SentinelLabs εντόπισε επίσης μια σειρά από πρόσθετες παραλλαγές PlugX και ShadowPad που χρησιμοποιούνται σε επιθέσεις που επικαλύπτονται με αυτήν τη δραστηριότητα και οι οποίες μπορεί να έχουν χρησιμοποιηθεί από τον Moshen Dragon ή έναν σχετικό παράγοντα.
«Το PlugX και το ShadowPad έχουν μια καθιερωμένη ιστορία χρήσης μεταξύ των κινεζόφωνων φορέων απειλών, κυρίως για κατασκοπευτική δραστηριότητα. Αυτά τα εργαλεία έχουν ευέλικτη, αρθρωτή λειτουργικότητα και μεταγλωττίζονται μέσω shellcode για να παρακάμπτουν εύκολα τα παραδοσιακά προϊόντα προστασίας τελικού σημείου», καταλήγει η SentinelLabs.