ShadowPad и Cobalt Strike: смертельное сочетание для организаций Тайваня
Кибершпионы использовали сложные схемы маскировки для сокрытия своих действий.
Исследовательский институт на Тайване, связанный с правительством, стал жертвой кибератаки, выявленной компанией Cisco Talos. Атака, произошедшая в июле 2023 года, привела к заражению систем института вредоносным ПО ShadowPad и Cobalt Strike. Специалисты связывают эту кампанию с хакерской группировкой APT41, которая, по мнению американских властей, имеет связи с Китаем.
Cisco Talos обнаружила аномальные команды PowerShell, подключающиеся к IP-адресу для загрузки и выполнения скриптов. Вредоносное ПО ShadowPad использовало уязвимую версию Microsoft Office IME для запуска своего загрузчика. APT41 также создала специальный загрузчик для эксплуатации уязвимости CVE-2018-0824, позволяющей получить локальное повышение привилегий.
Исследователи отмечают, что использованные методы и инструменты соответствуют характерным для APT41, включая применение ShadowPad, Bitdefender и FileZilla. Несмотря на то, что окончательный вредоносный код ShadowPad не был найден, известно, что ShadowPad используется исключительно китайскими хакерскими группами.
Cobalt Strike, обнаруженный в ходе атаки, был разработан с использованием загрузчика CS-Avoid-Killing, нацеленного на избежание обнаружения антивирусами. Загрузчик написан на языке Go и содержит строки на упрощённом китайском языке, что подтверждает причастность китайских хакеров.
В ходе атаки злоумышленники скомпрометировали три хоста в целевой сети и смогли выгрузить ценные документы. Хакеры устанавливали веб-оболочки, использовали RDP и обратные оболочки для распространения вредоносного ПО.
APT41 также использовала инструменты для сбора паролей, включая Mimikatz и WebBrowserPassView. Хакеры выполняли команды для получения информации о пользователях, структуре директорий и сетевых конфигурациях. Для эксфильтрации данных преступники сжимали и шифровали файлы с помощью 7zip, а затем отправляли их на командный сервер.
В ходе анализа кампании были обнаружены два типа загрузчиков ShadowPad. Первый использовал старую версию Microsoft Office IME, второй был разработан с использованием уязвимой библиотеки Bitdefender. Оба типа загрузчиков использовали легитимные бинарные файлы для запуска вредоносного кода.
В ходе расследования были найдены интересные инструменты, использованные хакерами, включая UnmarshalPwn для эксплуатации CVE-2018-0824. Были выявлены и другие компоненты инфраструктуры, использованные в разных кампаниях той же группой хакеров.
Усложнение методов и инструментов, применяемых группировкой APT41, сигнализирует о растущей угрозе для организаций во всем мире. Этот инцидент подчёркивает критическую необходимость для компаний и учреждений постоянно совершенствовать свои системы кибербезопасности, регулярно обновлять программное обеспечение и проводить аудит уязвимостей.