Einrichtungen in Afghanistan, Malaysia und Pakistan stehen im Fadenkreuz einer Angriffskampagne, die auf ungepatchte Microsoft Exchange Server abzielt, um die ShadowPad-Malware zu installieren.
Das russische Cybersicherheitsunternehmen Kaspersky, das die Aktivitäten erstmals Mitte Oktober 2021 entdeckte, führte sie auf einen bis dahin unbekannten chinesischsprachigen Bedrohungsakteur zurück. Zu den Zielen gehören Organisationen in den Bereichen Telekommunikation, Fertigung und Transport.
„Bei den ersten Angriffen nutzte die Gruppe eine MS Exchange-Schwachstelle aus, um ShadowPad-Malware zu installieren und in die Gebäudeautomatisierungssysteme eines der Opfer einzudringen“, so das Unternehmen. „Indem der Angreifer die Kontrolle über diese Systeme übernahm, konnte er auf andere, noch sensiblere Systeme des angegriffenen Unternehmens zugreifen.“
ShadowPad, das 2015 als Nachfolger von PlugX auftauchte, ist eine privat verkaufte modulare Malware-Plattform, die im Laufe der Jahre von vielen chinesischen Spionageakteuren genutzt wurde.
Das Design ermöglicht es den Nutzern zwar, per Fernzugriff zusätzliche Plugins zu installieren, die die Funktionalität über die verdeckte Datenerfassung hinaus erweitern können, doch was ShadowPad so gefährlich macht, ist die in die Malware integrierte Anti-Forensik- und Anti-Analyse-Technik.
„Bei den Angriffen des beobachteten Akteurs wurde die ShadowPad-Backdoor unter dem Deckmantel einer legitimen Software auf die angegriffenen Computer heruntergeladen“, so Kaspersky. „In vielen Fällen nutzte die angreifende Gruppe eine bekannte Schwachstelle in MS Exchange aus und gab die Befehle manuell ein, was auf den sehr gezielten Charakter ihrer Kampagnen hinweist.“
Die Anzeichen deuten darauf hin, dass die Angriffe des Angreifers im März 2021 begannen, also genau zu dem Zeitpunkt, als die ProxyLogon-Schwachstellen in Exchange-Servern öffentlich bekannt wurden. Einige der Ziele sollen unter Ausnutzung der Sicherheitslücke CVE-2021-26855, einer serverseitigen Anforderungsfälschung (SSRF) im E-Mail-Server, angegriffen worden sein.
Neben der Bereitstellung von ShadowPad als „mscoree.dll“, einer authentischen Microsoft .NET Framework-Komponente, wurden bei den Angriffen auch Cobalt Strike, eine PlugX-Variante namens THOR und Web-Shells für den Fernzugriff verwendet.
Obwohl die endgültigen Ziele der Kampagne noch nicht bekannt sind, geht man davon aus, dass die Angreifer an der langfristigen Sammlung von Informationen interessiert sind.
„Gebäudeautomationssysteme sind seltene Ziele für fortgeschrittene Bedrohungsakteure“, so Kirill Kruglov, Forscher bei Kaspersky ICS CERT. „Diese Systeme können jedoch eine wertvolle Quelle für hochvertrauliche Informationen sein und den Angreifern eine Hintertür zu anderen, besser gesicherten Bereichen der Infrastruktur bieten.“
Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com
97 % der britischen Wirtschaftsführer erwarten, dass Quantencomputer ihre Branche verändern werden