Un acteur malveillant non identifié a compromis une application utilisée par plusieurs entités au Pakistan pour fournir ShadowPad, un successeur de la porte dérobée PlugX qui est généralement associée aux équipes de piratage chinois.
Selon Trend Micro, les cibles comprenaient une entité gouvernementale pakistanaise, une banque du secteur public et un fournisseur de télécommunications. Les infections ont eu lieu entre la mi-février 2022 et septembre 2022.
La société de cybersécurité a déclaré que l’incident pourrait être le résultat d’une attaque de la chaîne d’approvisionnement, dans laquelle un logiciel légitime utilisé par des cibles d’intérêt est transformé en cheval de Troie pour déployer des logiciels malveillants capables de collecter des informations sensibles à partir de systèmes compromis.
La chaîne d’attaque prend la forme d’un programme d’installation malveillant pour E-Office, une application développée par le National Information Technology Board (NITB) du Pakistan pour aider les services gouvernementaux à se passer du papier.
Il n’est actuellement pas clair comment le programme d’installation d’E-Office dérobé a été livré aux cibles. Cela dit, rien ne prouve à ce jour que l’environnement de construction de l’agence gouvernementale pakistanaise en question ait été compromis.
Cela soulève la possibilité que l’auteur de la menace ait obtenu le programme d’installation légitime et l’ait falsifié pour inclure des logiciels malveillants, puis a ensuite incité les victimes à exécuter la version cheval de Troie via des attaques d’ingénierie sociale.
« Trois fichiers ont été ajoutés au programme d’installation MSI légitime : Telerik.Windows.Data.Validation.dll, mscoree.dll et mscoree.dll.dat », a déclaré Daniel Lunghi, chercheur chez Trend Micro, dans une analyse mise à jour publiée aujourd’hui.
Telerik.Windows.Data.Validation.dll est un fichier applaunch.exe valide signé par Microsoft, qui est vulnérable au chargement latéral de DLL et est utilisé pour charger mscoree.dll qui, à son tour, charge mscoree.dll.dat, le ShadowPad charge utile.
Trend Micro a déclaré que les techniques d’obscurcissement utilisées pour dissimuler les DLL et les logiciels malveillants décryptés en phase finale sont une évolution d’une approche précédemment exposée par Positive Technologies en janvier 2021 dans le cadre d’une campagne de cyberespionnage chinois menée par le groupe Winnti (alias APT41).
Outre ShadowPad, les activités de post-exploitation ont entraîné l’utilisation de Mimikatz pour vider les mots de passe et les informations d’identification de la mémoire.
L’attribution à un acteur menaçant connu a été entravée par un manque de preuves, bien que la société de cybersécurité ait déclaré avoir découvert des échantillons de logiciels malveillants tels que Deed RAT, qui a été attribué à l’acteur menaçant Space Pirates (ou Webworm).
« Toute cette campagne est le résultat d’un acteur de menace très compétent qui a réussi à récupérer et à modifier le programme d’installation d’une application gouvernementale pour compromettre au moins trois cibles sensibles », a déclaré Lunghi.
« Le fait que l’acteur de la menace ait accès à une version récente de ShadowPad le lie potentiellement au lien des acteurs de la menace chinois, bien que nous ne puissions pas désigner un groupe particulier avec confiance. »
