Các thực thể ở Afghanistan, Malaysia và Pakistan đang nằm trong tầm ngắm của một chiến dịch tấn công nhắm vào các Máy chủ Microsoft Exchange chưa được vá như một vectơ truy cập ban đầu để triển khai phần mềm độc hại ShadowPad.
Công ty an ninh mạng Kaspersky của Nga, công ty lần đầu tiên phát hiện hoạt động này vào giữa tháng 10 năm 2021, cho rằng nó là do một kẻ đe dọa nói tiếng Trung chưa được biết đến trước đó. Mục tiêu bao gồm các tổ chức trong lĩnh vực viễn thông, sản xuất và vận tải.
“Trong các cuộc tấn công ban đầu, nhóm đã khai thác lỗ hổng MS Exchange để triển khai phần mềm độc hại ShadowPad và xâm nhập vào hệ thống tự động hóa tòa nhà của một trong những nạn nhân”, công ty cho biết. “Bằng cách chiếm quyền kiểm soát các hệ thống đó, kẻ tấn công có thể tiếp cận các hệ thống khác, thậm chí nhạy cảm hơn của tổ chức bị tấn công.”
ShadowPad, nổi lên vào năm 2015 với tư cách là người kế nhiệm PlugX, là một nền tảng phần mềm độc hại mô-đun được bán tư nhân đã được nhiều kẻ gián điệp Trung Quốc sử dụng trong những năm qua.
Mặc dù thiết kế của nó cho phép người dùng triển khai từ xa các plugin bổ sung có thể mở rộng chức năng của nó ngoài việc thu thập dữ liệu bí mật, nhưng điều khiến ShadowPad trở nên nguy hiểm là kỹ thuật chống phân tích và chống pháp y được tích hợp vào phần mềm độc hại.
Kaspersky cho biết: “Trong các cuộc tấn công của tác nhân được quan sát, cửa hậu ShadowPad đã được tải xuống các máy tính bị tấn công dưới vỏ bọc là phần mềm hợp pháp. “Trong nhiều trường hợp, nhóm tấn công đã khai thác một lỗ hổng đã biết trong MS Exchange và nhập các lệnh theo cách thủ công, cho thấy tính chất được nhắm mục tiêu cao của các chiến dịch của họ.”
Bằng chứng cho thấy rằng các cuộc xâm nhập của kẻ thù bắt đầu vào tháng 3 năm 2021, ngay trong khoảng thời gian lỗ hổng ProxyLogon trong Máy chủ Exchange được công khai. Một số mục tiêu được cho là đã bị vi phạm bằng cách khai thác CVE-2021-26855, một lỗ hổng bảo mật giả mạo yêu cầu phía máy chủ (SSRF) trong máy chủ thư.
Bên cạnh việc triển khai ShadowPad dưới dạng “mscoree.dll”, một thành phần Microsoft .NET Framework đích thực, các cuộc tấn công còn liên quan đến việc sử dụng Cobalt Strike, một biến thể PlugX được gọi là THOR và các trình bao web để truy cập từ xa.
Mặc dù vẫn chưa rõ mục tiêu cuối cùng của chiến dịch, nhưng những kẻ tấn công được cho là quan tâm đến việc thu thập thông tin tình báo trong thời gian dài.
Nhà nghiên cứu Kirill Kruglov của Kaspersky ICS CERT cho biết: “Các hệ thống tự động hóa tòa nhà là mục tiêu hiếm hoi đối với các tác nhân đe dọa tiên tiến. “Tuy nhiên, những hệ thống đó có thể là nguồn thông tin có giá trị bảo mật cao và có thể cung cấp cho những kẻ tấn công một cửa hậu để đến các khu vực cơ sở hạ tầng khác, được bảo mật hơn.”
.
