Einrichtungen in Afghanistan, Malaysia und Pakistan stehen im Fadenkreuz einer Angriffskampagne, die auf ungepatchte Microsoft Exchange Server abzielt, um die ShadowPad-Malware zu verbreiten.
Das russische Cybersicherheitsunternehmen Kaspersky, das die Aktivitäten erstmals Mitte Oktober 2021 entdeckte, führt sie auf einen bis dahin unbekannten chinesischsprachigen Akteur zurück. Zu den Zielen gehören Unternehmen in den Bereichen Telekommunikation, Produktion und Transport.
„Bei den ersten Angriffen nutzte die Gruppe eine MS Exchange-Schwachstelle aus, um ShadowPad-Malware zu installieren und in die Gebäudeautomationssysteme eines der Opfer einzudringen“, so das Unternehmen. „Indem sie die Kontrolle über diese Systeme übernahmen, konnten die Angreifer andere, noch sensiblere Systeme der angegriffenen Organisation erreichen.
ShadowPad, das 2015 als Nachfolger von PlugX auftauchte, ist eine privat vertriebene modulare Malware-Plattform, die im Laufe der Jahre von vielen chinesischen Spionageakteuren genutzt wurde.
Das Design ermöglicht es den Nutzern, aus der Ferne zusätzliche Plugins zu installieren, die die Funktionalität über das verdeckte Sammeln von Daten hinaus erweitern, aber was ShadowPad so gefährlich macht, sind die in die Malware eingebauten Anti-Forensik- und Anti-Analyse-Techniken.
„Bei den Angriffen des beobachteten Akteurs wurde die ShadowPad-Backdoor unter dem Deckmantel legitimer Software auf die angegriffenen Computer heruntergeladen“, so Kaspersky. „In vielen Fällen nutzte die angreifende Gruppe eine bekannte Schwachstelle in MS Exchange aus und gab die Befehle manuell ein, was auf den sehr gezielten Charakter ihrer Kampagnen hinweist.
Die Anzeichen deuten darauf hin, dass die Angriffe im März 2021 begannen, als die ProxyLogon-Schwachstellen in Exchange-Servern öffentlich bekannt wurden. Einige der Ziele sollen unter Ausnutzung der Sicherheitslücke CVE-2021-26855, einer serverseitigen Anforderungsfälschung (SSRF) im Mailserver, angegriffen worden sein.
Neben dem Einsatz von ShadowPad als „mscoree.dll“, einer authentischen Microsoft .NET Framework-Komponente, wurden bei den Angriffen auch Cobalt Strike, eine PlugX-Variante namens THOR und Web-Shells für den Fernzugriff verwendet.
Obwohl die endgültigen Ziele der Kampagne noch nicht bekannt sind, wird vermutet, dass die Angreifer daran interessiert sind, langfristig Informationen zu sammeln.
„Gebäudeautomationssysteme sind seltene Ziele für fortgeschrittene Bedrohungsakteure“, sagt Kaspersky ICS CERT-Forscher Kirill Kruglov. „Diese Systeme können jedoch eine wertvolle Quelle für streng vertrauliche Informationen sein und den Angreifern eine Hintertür zu anderen, besser gesicherten Bereichen der Infrastruktur bieten.