APT黑客利用ShadowPad后门攻击工业控制系统

位于阿富汗、马来西亚和巴基斯坦的实体正处于一场针对未打补丁的Microsoft Exchange服务器的攻击活动的焦点中，这些服务器是部署ShadowPad恶意软件的初始访问载体。

俄罗斯网络安全公司卡巴斯基于2021 10月中首次检测到这一活动，并将其归因于一名之前不为人知的汉语威胁行为人。目标包括电信、制造和运输部门的组织。

ShadowPad于2015年作为PlugX的继任者出现，是一个私人出售的模块化恶意软件平台，多年来已被许多中国间谍演员使用。

虽然ShadowPad的设计允许用户远程部署其他插件，从而将其功能扩展到隐蔽的数据收集之外，但使ShadowPad危险的是恶意软件中包含的反取证和反分析技术。

卡巴斯基说：“在被观察演员的攻击过程中，ShadowPad后门以合法软件的名义被下载到被攻击的计算机上。”。“在许多情况下，攻击集团利用MS Exchange中的已知漏洞，手动输入命令，表明其活动的高度针对性。”

有证据表明，对手发起的入侵始于2021 3月，当时Exchange服务器中的ProxyLogon漏洞已为公众所知。据称，利用邮件服务器中的服务器端请求伪造（SSRF）漏洞CVE-2021-26855，违反了一些目标。

除了将ShadowPad部署为“mscoree.dll”，一个正宗的Microsoft。NET框架组件，这些攻击还涉及使用Cobalt Strike（一种称为THOR的PlugX变体）和用于远程访问的web shell。

虽然这场战役的最终目标仍不得而知，但据信袭击者对长期情报收集感兴趣。

卡巴斯基ICS CERT研究员基里尔·克鲁格洛夫（KirillKruglov）说：“楼宇自动化系统是高级威胁行为者的罕见目标。”。“然而，这些系统可能是高度机密信息的宝贵来源，并可能为攻击者提供通往其他更安全的基础设施领域的后门。”