Kínához köthető kiberszereplők európai egészségügyi szervezeteket vettek célba
Egy eddig ismeretlen kiberszereplő európai egészségügyi szervezeteket vett célba 2024. második felében, amely során a kínai állam által támogatott kiberszereplőkhöz köthető kémprogramokat és egy új ransomware törzset alkalmaztak – áll az Orange Cyberdefense jelentésében. Tavaly az Orange Cyberdefense CERT több incidenst is kivizsgált, amelyek során a ShadowPad-et és a PlugX-et is használta a kiberszereplő. A kampányt Green Nailao néven követi nyomon az Orange és úgy vélik, hogy a kampány jóval több szervezetet érintett számos ágazatban világszerte. Legalább két esetben a kompromittálás azzal végződött, hogy az áldozatok rendszereiben egy egyedi, korábban nem dokumentált ransomware-t futtattak, amelyet a kutatók NailaoLocker-nek neveztek el. Az Orange CTI csapata nem kötötte a kampányt egyik ismert kiberszereplőhöz sem, azonban közepes biztonsággal úgy ítélik meg, hogy a kiberszereplő tipikus kínai kiberszereplőkre jellemző jegyeket mutat.
Az Orange által vizsgált incidensekben hasonló kezdeti hozzáférési vektort használt az elkövető, ami egy Check Point VPN eszköz kompromittálása volt. Az Orange Cyberdefense kutatók szerint a támadók a CVE-2024-24919 sérülékenységet használták ki, ami azokat a Check Point Security Gateway-eket érinti, amelyek Remote Access VPN vagy Mobile Access funkciókkal rendelkeznek. A sérülékenységet 2024. április óta aktívan kihasználják, amit a gyártó 2024. májusában javított. A sérülékenység kihasználása lehetővé teszi a kiberszereplők számára, hogy kiolvassanak bizonyos információkat a gatewayekből, illetve, hogy enumerálják és kinyerjék a helyi fiókokhoz tartozó jelszóhash-eket és így legitim fiókkal csatlakozzanak a VPN-hez. A támadók ezután hálózati felderítést és oldalirányú mozgást végeztek, főként az RDP-n keresztül, hogy további jogosultságokat szerezzenek. Megfigyelték, hogy a kiberszereplők manuálisan végrehajtanak egy legitim bináris „logger.exe” programot, egy rosszindulatú DLL sideloading érdekében. Hasonló TTP-ket figyeltek meg a PlugX 2024 augusztusa körüli terjesztése során is.
A kutatók szerint a támadók a ShadowPad kommunikációt létesített egy C2-kiszolgálóval, hogy az áldozatok információs rendszerein belül egy VPN-hozzáféréstől független, diszkrét hozzáférési pontot hozzon létre. A kutatók arra utaló jeleket találtak, hogy több ShadowPad backdoort telepítettek ugyanazon szervezet különböző gépeire. Egyes esetekben több mint két hét telt el a kompromittálás első szakaszai és a post compromise tevékenységek között.
A ShadowPad arról ismert, hogy széles körben használják kormányzati szervek, tudományos intézmények, energetikai szervezetek, agytrösztök vagy technológiai vállalatok elleni kiberkémkedési kampányokban. Az Orange Cyberdefense kutató szerint a ShadowPad új változatát azonosították. A ShadowPad elemzésében a TrendMicro is részt vett.
