خانه » هکرهای APT41 از بدافزار ShadowPad در حمله به موسسه تایوانی استفاده کردند

هکرهای APT41 از بدافزار ShadowPad در حمله به موسسه تایوانی استفاده کردند

توسط Vulnerbyte
61 بازدید
APT41 - ShadowPad - Cobalt Strike

یک مؤسسه تحقیقاتی وابسته به دولت تایوان که از اوایل جولای ۲۰۲۳ شروع به کار کرده است، توسط گروه‌های سایبری مرتبط با چین، مورد نفوذ قرار گرفت. الگوی فعالیت این حمله سایبری با گروه چینی APT41 مطابقت دارد.

سیسکو تالوس در اوت 2023، دستورات غیرعادی PowerShell را شناسایی کرد که به یک آدرس IP متصل می‌شدند تا اسکریپت‌های PowerShell را در محیط این موسسه تحقیقاتی دانلود و اجرا کنند. ماهیت کار تحقیق و توسعه این موسسه، آن را به یک هدف ارزشمند برای هکرها تبدیل کرده است.

سیسکو تالوس بر اساس همپوشانی‌هایی که در تاکتیک‌ها، تکنیک‌ها و رویه‌ها، زیرساخت‌ها و خانواده‌های بدافزاری وجود دارد، ​​ارزیابی کرده است که این نفوذها توسط APT41 هدایت می‌شوند.

تجزیه و تحلیل تالوس از لودرهای بدافزار استفاده شده در این حمله نشان می‌دهد که اینها لودرهای ShadowPad هستند. با این حال، تالوس تاکنون موفق به بازیابی آخرین پیلودهای ShadowPad استفاده شده توسط مهاجمان نشده است.

ShadowPad که به طور گسترده جانشین بدافزار PlugX در نظر گرفته می‌شود، یک تروجان دسترسی از راه دور (RAT) ماژولار است که فقط به گروه‌های سایبری چینی فروخته می‌شود. به گفته وزارت دادگستری ایالات متحده، این بدافزار به طور عمومی توسط APT41 استفاده می‌شود.

 

هکرهای چینی زبان

بردار دسترسی اولیه دقیق مورد استفاده در حمله مشخص نیست، اما شامل استفاده از یک شل وب برای حفظ دسترسی و استقرار پیلودهای بیشتر مانند ShadowPad و Cobalt Strike است.

لودر منحصر به فرد Cobalt Strike استفاده شده در این حمله به زبان GoLang نوشته شده تا از شناسایی توسط ویندوز دیفندر جلوگیری کند. این لودر بر اساس لودر دیگری به نام CS-Avoid-Killing نوشته شده است که در GitHub میزبانی می‌شود. این مخزن در چندین انجمن هک چینی و مقالات آموزشی فنی تبلیغ شد است.

لودر Cobalt Strike همچنین شامل رشته‌های مسیر فایل و دایرکتوری به زبان چینی است که نشان می‌دهد هکرهایی که این لودر را ساخته‌اند و یا کامپایل کرده‌اند به خوبی به این زبان تسلط دارند.

APT41 - ShadowPad - Cobalt Strike
مخزن Github لودر Cobalt Strike

تحلیل تاکتیک، تکنیک و رویه

سیسکو تالوس در اوت 2023، دستورات غیرعادی PowerShell متصل به یک آدرس IP را به منظور دانلود اسکریپت PowerShell برای اجرا در محیط قربانی شناسایی کرد.

اولین نشانه‌های نفوذ از اواسط ژوئیه 2023 مشاهده شدند. مهاجم، سه میزبان را در محیط قربانی مورد هدف قرار داد و توانست برخی اسناد را از شبکه استخراج کند.

 

جمع آوری و استخراج اطلاعات

تالوس مشاهده کرد که مهاجم، گذرواژه‌ها را از محیط تحت نفوذ جمع‌آوری کرده و از Mimikatz به منظور جمع آوری هش‌ها از فضای آدرس فرآیند lsass و WebBrowserPassView وب استفاده می‌کند. از این رو مهاجم به تمامی گواهی‌های اعتبار و داده‌های لاگین ذخیره شده در مرورگرها دست یافته است.

هکرها همچنین چندین فرمان از جمله “net”، “whoami”، “quser”، “ipconfig”، “netstat” و “dir” را برای به دست آوردن اطلاعات مربوط به حساب‌های کاربری، ساختار دایرکتوری، و پیکربندی‌ شبکه اجرا کرده‌اند.

لودر ShadowPad نیز، فرآیند اسکن را برای جمع آوری میزبان‌های شبکه به انجام می‌رساند. بدافزار سعی می‌کند با اتصال متوالی به IP‌های مشابه در کلاس C، سایر ماشین‌های همان شبکه راشناسایی کند.

هکرها برای استخراج تعداد زیادی فایل از چندین ماشین تحت نفوذ، از 7zip به منظور فشرده‌سازی و رمزگذاری فایل‌های آرشیو استفاده ‌کرده‌اند و سپس بکدورها را برای ارسال این فایل‌های آرشیو به سرور فرماندهی و کنترل به کار می‌گیرند.

 

تجزیه و تحلیل Toolkit مخرب

محققان تالوس چندین لودر بدافزار جالب را در این زنجیره نفوذ کشف کردند. هکرها در این حمله از دو بکدور اصلی shadowPad و Cobalt Strike استفاده کرده‌اند. این دو بکدور توسط خود مهاجم از طریق webshell، reverse shell و RDP نصب شده‌اند.

علاوه بر این، دو ابزار هک جالب نیز مشاهده شده است، یکی برای افزایش سطح دسترسی لوکال و دیگری برای دریافت داده‌ها لاگین از مرورگر وب.

 

لودر ShadowPad

ShadowPad یک خانواده بدافزار بدنام است که در حملات سایبری توسط گروه‌های APT41، APT23 و APT17 استفاده شده است. این بدافزار اولین بار در یک حمله زنجیره تامین نرم افزار در جولای 2017 گزارش گردید. تروجان Deed RAT نیز حداقل از سال 2017 فعال می‌باشد و شباهت کد بالایی با ShadowPad دارد.

محققان تالوس در طول بررسی این حمله، با دو تکرار متمایز از ShadowPad مواجه شدند. در حالی که هر دو نمونه از یک تکنیک sideloading (بارگذاری جانبی) استفاده کرده‌اند اما هر کدام، باینری‌های قانونی آسیب ‌پذیر مختلفی را برای راه‌اندازی لودر ShadowPad به کار برده‌اند.

نوع اولیه لودر ShadowPad، قبلاً در سال 2020 مورد بحث قرار گرفته است و برخی از فروشندگان آن را با نام “ScatterBee” به فروش می‌رسانند. ساختار فنی و نام کامپونت‌های متعدد این نمونه با گزارش‌های قبلی مطابقت دارد.

نوع جدید لودر ShadowPad، نسخه قدیمی و حساس باینری Microsoft Office IME imecmnt.exe را مورد هدف قرار میدهد که بیش از 13 سال از عمر آن می‌گذرد.

این لودر پس از اجرا، ماژول فعلی را برای یافتن یک دنباله بایت خاص در آفست 0xE367 بررسی می‌کند. راستی‌آزمایی موفق Checksum، لودر را وادار می‌کند تا پیلود “Imjp14k.dll.dat” را برای تزریق در حافظه سیستم جستجو و رمزگشایی کند.

Checksum لودر imjp14k
Checksum لودر imjp14k

هر دو لودر ShadowPad از یک باینری قانونی برای راه‌اندازی بدافزار نهایی استفاده می‌کنند.

G:\Bee\Bee6.2(HD)\Src\Dll_3F_imjp14k\Release\Dll_3F_imjp14k.pdb

G:\Bee\Tree\Src\Dll_3F_imjp14k\Release\Dll.pdb

APT41 - ShadowPad - Cobalt Strike
نوع دوم Checksum لودر imjp14k

بدافزار Unmarshal

بدافزار Unmarshal.exe، پیلود خود را طی چهار مرحله رمزگشایی می‌کند. مرحله اول فایل اجرایی است که سعی می‌کند [filename].tbin را جستجو و یک پیلود رمزگشایی مرحله اول (inject_loader_1.dll) را در یک بلوک حافظه اختصاص داده شده تزریق کند.

پیلود رمزگشایی مرحله اول، اکنون پیلود مرحله دوم ( inject_loader_2.dll) را از حالت فشرده خارج کرده و به حافظه تزریق می‌کند. پیلود مرحله دوم همچنین سعی می‌کند فایل *.dlls یا ddb.dlls را برای مرحله بعدی جستجو کند.

چنانچه پیلود مرحله دوم نتواند فایل خاصی را پیدا کند، پیلود نهایی را رمزگشایی کرده و آن پیلود را به یک بلوک حافظه دیگر تزریق می‌کند.

چرخه اجرای بدافزار Unmarshal
چرخه اجرای بدافزار Unmarshal

پیلود نهایی، بدافزار UnmarshalPwn است که یک POC برای CVE-2018-0824 می‌باشد و از یک آسیب‌ پذیری اجرای کد از راه دور به منظور افزایش سطح دسترسی لوکال استفاده می‌کند.

APT41 - ShadowPad - Cobalt Strike
مراحل پیلود

این خلاصه زنجیره حمله گروه APT41 به مؤسسه تحقیقاتی تایوانی بود که مورد بررسی قرار گرفت.

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید