Trend Micro, un fornitore di sicurezza informatica giapponese, ha scoperto un campione di Shadowpad, una sofisticata backdoor utilizzata da vari attori minacciosi sponsorizzati dalla Cina, in un’applicazione creata dal National Information Technology Board (NITB) del Pakistan.
Shadowpad e la sua scoperta
Shadowpad è una backdoor modulare scoperta nel 2017 a seguito di un attacco alla catena di fornitura su un popolare software di gestione del server attribuito ad APT41, un attore di minacce cinese noto anche come Wicked Panda e Bronze Atlas, che si occupa sia di spionaggio che di cybercriminalità. Dal 2019, questo malware è stato condiviso tra vari attori minacciosi cinesi, come Earth Akhlut o Earth Lusca. Pertanto, Trend Micro ha affermato che la campagna potrebbe essere potenzialmente collegata al “nexus” degli attori minacciosi cinesi, ma non ha potuto attribuirla con certezza a un particolare gruppo.
Tecniche utilizzate
Durante l’analisi dei file dell’installer di E-Office, i ricercatori di Trend Micro hanno scoperto che l’attore minaccioso ha aggiunto un codice che controlla alcuni byte dell’eseguibile di caricamento a un offset codificato per verificare che corrispondano a un particolare valore. Se ciò non avviene, la DLL si chiude. Se invece avviene, il resto del codice viene offuscato con due tecniche: una impedisce al disassemblatore di seguire staticamente il flusso del codice, rendendo l’analisi statica estremamente difficile, e l’altra aggiunge istruzioni inutili e diramazioni che non vengono mai prese per confondere qualsiasi analista di malware. Sono stati trovati diversi campioni di Shadowpad con queste due tecniche di offuscamento.
Obiettivi in Pakistan
I ricercatori hanno individuato tre obiettivi, tutti in Pakistan. La prima vittima era un’entità governativa pakistana. Trend Micro ha confermato che il campione di Shadowpad è atterrato sulla vittima dopo aver eseguito l’installer di E-Office compromesso il 28 settembre 2022. La seconda vittima era una banca del settore pubblico pakistano. In questo incidente, diversi campioni di Shadowpad sono stati rilevati il 30 settembre 2022, dopo l’installazione di E-Office, e Trend Micro non è riuscita a recuperare l’installer di E-Office correlato. Altri campioni di Shadowpad correlati sono stati rilevati presso un fornitore di telecomunicazioni pakistano nel maggio 2022. Un’analisi successiva ha mostrato che uno era lì da metà febbraio 2022, ma i ricercatori non sono riusciti a trovare il vettore di infezione per questo incidente.
Conclusione
Il fatto che E-Office “è destinato solo alle entità governative e non è disponibile al pubblico rafforza la nostra convinzione che l’incidente potrebbe essere un attacco alla catena di fornitura”, hanno concluso Lunghi e Chang.