Neidentifikovana grupa hakera ciljala je evropske organizacije, posebno u zdravstvenom sektoru, kako bi implementirala PlugX i njegovog nasljednika, ShadowPad, a u nekim slučajevima i ransomware pod nazivom NailaoLocker.
Ova kampanja, kodnog imena Green Nailao, koju je identifikovao Orange Cyberdefense CERT, iskoristila je sada već zakrpljeni sigurnosni propust u Check Point sigurnosnim mrežnim proizvodima (CVE-2024-24919, CVSS ocjena: 7.5). Napadi su zabilježeni između juna i oktobra 2024. godine.
“Kampanja se oslanjala na tehnike otmice pretrage DLL datoteka kako bi implementirala ShadowPad i PlugX – dva malvera često povezana s kineskim hakerima,” navodi se u tehničkom izvještaju podijeljenom s The Hacker News.
Eksploatacija ranjivih Check Point instanci omogućila je napadačima da ukradu korisničke kredecijale i povežu se na VPN koristeći legitimne naloge.
Način napada
Nakon prvog upada, napadači su sproveli istraživanje mreže i lateralno kretanje koristeći Remote Desktop Protocol (RDP) kako bi dobili administrativne privilegije. Zatim su pokrenuli legitimnu izvršnu datoteku (“logger.exe”) za učitavanje maliciozne DLL datoteke (“logexts.dll”), koja služi kao loader za novu verziju ShadowPad malvera.
Prethodne verzije napada, identifikovane u avgustu 2024, koristile su slične tehnike za isporuku PlugX-a, koji koristi DLL side-loading metodologiju pomoću McAfee izvršne datoteke (“mcoemcpy.exe”) za pokretanje “McUtil.dll”.
Baš kao i PlugX, ShadowPad je privatno razvijen malver koji koriste isključivo kineske obavještajne grupe od najmanje 2015. godine. Verzija koju je analizirao Orange Cyberdefense CERT pokazuje sofisticirane tehnike zamagljivanja koda i anti-debugging zaštitu, omogućavajući trajni daljinski pristup kompromitovanim sistemima.
Krađa podataka i ransomware faza
Dokazi sugerišu da su napadači pokušali eksfiltrirati podatke pristupajući datotečnom sistemu i kreirajući ZIP arhive. Završna faza napada uključivala je korištenje Windows Management Instrumentation (WMI) za distribuciju tri datoteke:
- “usysdiag.exe” – legitimna izvršna datoteka potpisana od strane kompanije Beijing Huorong Network Technology Co., Ltd
- “sensapi.dll” – loader poznat kao NailaoLoader
- “usysdiag.exe.dat” – izvršna datoteka koja pokreće NailaoLocker ransomware
Ponovo je primijenjena tehnika DLL side-loading-a, gdje “usysdiag.exe” učitava malicioznu DLL datoteku kako bi dešifrovao i pokrenuo NailaoLocker. Ovaj ransomware, razvijen u C++, enkriptuje datoteke, dodaje im ekstenziju “.locked”, te ostavlja ucjenjivačku poruku, tražeći otkup u bitcoinu ili kontakt putem Proton Mail adrese.
Međutim, istraživači Marine Pichon i Alexis Bonnefoi otkrili su da je NailaoLocker nesofisticiran i loše dizajnisan:
- Ne skenira mrežne dijeljene foldere
- Ne zaustavlja servise ili procese koji bi mogli spriječiti enkripciju važnih fajlova
- Nema ugrađene anti-debugging mehanizme
Povezanost s kineskim grupama prijetnji
Orange Cyberdefense CERT pripisao je ovu aktivnost kineskim hakeirma s srednjim stepenom povjerenja, bazirajući to na:
- Upotrebi ShadowPad malvera
- Korištenju DLL side-loading tehnika
- Sličnostima sa ranijim ransomware napadima koje je izvela kineska grupa Bronze Starlight
Takođe, “usysdiag.exe” je ranije korišten u napadima koje je dokumentovala kompanija Sophos, gdje je grupa Cluster Alpha (STAC1248) implementirala slične tehnike.
Iako krajnji ciljevi kampanje nisu potpuno jasni, istraživači sumnjaju da su napadači kombinovali špijunažu i ransomware kako bi ostvarili brzu finansijsku dobit.
“To bi moglo objasniti razliku u sofisticiranosti između ShadowPad-a i NailaoLocker-a. Čini se da je NailaoLocker ponekad pokušavao imitirati metode učitavanja koje koristi ShadowPad,” naveli su istraživači.
Dok su neki od ovih napada oportunistički, drugi omogućavaju grupama hakera dugoročan pristup informacijskim sistemima, što može biti iskorišteno za buduće ofanzivne operacije.
Dodatna analiza Trend Micro-a
U posebnoj analizi, Trend Micro je otkrio da su napadači koristili poboljšanu verziju ShadowPad malvera za implementaciju NailaoLocker ransomware-a, eksploatišući slabe lozinke i zaobilazeći multi-faktorsku autentifikaciju (MFA).
Grupa hakera je ciljala 21 kompaniju u 15 različitih zemalja i pet različitih industrija, uključujući:
- Proizvodnju
- Transport
- Publishing
Dva od ovih napada rezultovalo su implementacijom ransomware-a.
Nova verzija ShadowPad-a uključuje:
- Poboljšane anti-debugging tehnike
- Enkripciju koristeći serijski broj diska žrtvinog uređaja
- Korištenje DNS-over-HTTPS (DoH) za prikrivanje mrežne komunikacije
Prema istraživaču Danielu Lunghiju, iako ove promjene nisu revolucionarne, pokazuju da je malver u aktivnom razvoju i da napadači pokušavaju otežati njegovu analizu.
Trend Micro je takođe pripisao kampanju kineskoj APT grupi Teleboyi, navodeći sličnosti u PlugX kodnoj bazi i infrastrukturi (dscriy.chtq[.]net), koja je ranije korištena u špijunskoj operaciji poznatoj kao Operation Harvest.
Ova grupa, aktivna od najmanje 2015. godine, pokazuje taktičke sličnosti s drugim kineskim cyber-špijunskim kolektivima kao što su:
- APT41
- Earth Berberoka
- FamousSparrow (Salt Typhoon)
Zaključak
Napadi povezani s Kinom nastavljaju razvijati se, koristeći sofisticirane tehnike upada, špijunažu i ransomware kako bi ciljali organizacije širom svijeta. Kombinacija ShadowPad-a i NailaoLocker-a sugeriše da napadači eksperimentišu s hibridnim kampanjama koje spajaju finansijske i špijunske motive.
S obzirom na povećanu upotrebu AI tehnologija i enkripcije, organizacije moraju ojačati svoje sigurnosne mehanizme, uključujući:
- Snažnije autentifikacione politike
- Zaštitu od DLL side-loading tehnika
- Proaktivni monitoring mrežne aktivnosti
S obzirom na to da ShadowPad ostaje moćan alat u kineskim cyber-špijunskim operacijama, organizacije moraju biti posebno oprezne u zaštiti svojih sistema.
Izvor:The Hacker News