Des entités situées en Afghanistan, en Malaisie et au Pakistan sont dans le collimateur d’une campagne d’attaques qui cible les serveurs Microsoft Exchange non corrigés comme vecteur d’accès initial pour déployer le malware ShadowPad.
La société russe de cybersécurité Kaspersky, qui a détecté l’activité pour la première fois à la mi-octobre 2021, attribué à un acteur menaçant de langue chinoise jusque-là inconnu. Les cibles comprennent les organisations des secteurs des télécommunications, de la fabrication et des transports.
« Lors des attaques initiales, le groupe a exploité une vulnérabilité MS Exchange pour déployer le malware ShadowPad et infiltré systèmes d’automatisation du bâtiment de l’une des victimes », a déclaré la société. « En prenant le contrôle de ces systèmes, l’attaquant peut atteindre d’autres systèmes encore plus sensibles de l’organisation attaquée. »
ShadowPad, qui a émergé en 2015 en tant que successeur de PlugX, est une plate-forme de logiciels malveillants modulaire vendue en privé qui a été utilisée par de nombreux acteurs d’espionnage chinois au fil des ans.
Alors que sa conception permet aux utilisateurs de déployer à distance des plug-ins supplémentaires qui peuvent étendre ses fonctionnalités au-delà de la collecte de données secrètes, ce qui rend ShadowPad dangereux, c’est la technique anti-légale et anti-analyse intégrée au malware.
« Lors des attaques de l’acteur observé, la porte dérobée ShadowPad a été téléchargée sur les ordinateurs attaqués sous le couvert d’un logiciel légitime », a déclaré Kaspersky. « Dans de nombreux cas, le groupe attaquant a exploité une vulnérabilité connue dans MS Exchange et a saisi les commandes manuellement, indiquant la nature hautement ciblée de leurs campagnes. »
Les preuves suggèrent que les intrusions montées par l’adversaire ont commencé en mars 2021, à peu près au moment où les vulnérabilités ProxyLogon dans les serveurs Exchange sont devenues publiques. Certaines des cibles auraient été violées en exploitant CVE-2021-26855, une vulnérabilité de falsification de requête côté serveur (SSRF) dans le serveur de messagerie.
Outre le déploiement de ShadowPad en tant que « mscoree.dll », un composant authentique de Microsoft .NET Framework, les attaques impliquaient également l’utilisation de Cobalt Strike, une variante PlugX appelée THOR, et des shells Web pour l’accès à distance.
Bien que les objectifs finaux de la campagne restent inconnus, les attaquants seraient intéressés par la collecte de renseignements à long terme.
« Les systèmes d’automatisation des bâtiments sont des cibles rares pour les acteurs de menaces avancés », a déclaré Kirill Kruglov, chercheur de Kaspersky ICS CERT. « Cependant, ces systèmes peuvent être une source précieuse d’informations hautement confidentielles et peuvent fournir aux attaquants une porte dérobée vers d’autres zones d’infrastructures plus sécurisées. »