Un istituto di ricerca taiwanese affiliato al governo, specializzato in informatica e tecnologie correlate, è stato recentemente compromesso da attori di minacce statali con legami con la Cina. Secondo le nuove scoperte di Cisco Talos, l'attacco è stato attribuito con media fiducia a un gruppo di hacker prolifici noto come APT41. L'organizzazione non specificata è stata presa di mira a partire da metà luglio 2023, con l'obiettivo di distribuire una varietà di backdoor e strumenti post-compromesso come ShadowPad e Cobalt Strike.

Il malware ShadowPad utilizzato nella campagna attuale ha sfruttato una versione vulnerabile obsoleta del file binario di Microsoft Office IME come caricatore per caricare un secondo caricatore personalizzato, necessario per avviare il payload. I ricercatori di sicurezza hanno rivelato che l'attore di minacce è riuscito a compromettere tre host nell'ambiente bersaglio, esfiltrando alcuni documenti dalla rete.

Cisco Talos ha scoperto l'attività ad agosto 2023

dopo aver rilevato comandi PowerShell anomali che si connettevano a un indirizzo IP per scaricare ed eseguire script PowerShell all'interno dell'ambiente compromesso. Sebbene il vettore di accesso iniziale esatto non sia noto, l'attacco ha coinvolto l'uso di una web shell per mantenere l'accesso persistente e distribuire payload aggiuntivi come ShadowPad e Cobalt Strike. Quest'ultimo è stato consegnato tramite un caricatore Cobalt Strike basato su Go chiamato CS-Avoid-Killing.

Il malware Cobalt Strike era stato sviluppato utilizzando un caricatore anti-AV per eludere il rilevamento da parte dei software antivirus e evitare la quarantena del prodotto di sicurezza. Inoltre, l'attore di minacce è stato osservato eseguire comandi PowerShell per lanciare script responsabili dell'esecuzione di ShadowPad in memoria e recuperare il malware Cobalt Strike da un server di comando e controllo (C2) compromesso. Il caricatore ShadowPad basato su DLL, noto anche come ScatterBee, è eseguito tramite il caricamento laterale delle DLL.

Altri passaggi dell'intrusione includevano l'uso di Mimikatz per estrarre password e l'esecuzione di diversi comandi per raccogliere informazioni sugli account utente, la struttura delle directory e le configurazioni di rete. Cisco Talos ha notato che APT41 ha creato un caricatore su misura per iniettare una prova di concetto per CVE-2018-0824 direttamente in memoria, sfruttando una vulnerabilità di esecuzione di codice remoto per ottenere un'escalation dei privilegi locali. Il payload finale, UnmarshalPwn, viene rilasciato dopo essere passato attraverso tre diverse fasi.

L'avversario ha cercato di evitare il rilevamento interrompendo la propria attività una volta rilevati altri utenti sul sistema. Dopo aver distribuito le backdoor, l'attore malintenzionato elimina la web shell e l'account ospite che ha consentito l'accesso iniziale.

Questa rivelazione arriva mentre la Germania

ha recentemente dichiarato che attori statali cinesi sono stati dietro un attacco informatico del 2021 all'agenzia nazionale di cartografia, l'Ufficio Federale di Cartografia e Geodesia (BKG), per scopi di spionaggio. In risposta alle accuse, l'ambasciata cinese a Berlino ha definito l'accusa infondata, invitando la Germania a cessare l'uso di questioni di sicurezza informatica per diffamare politicamente e mediaticamente la Cina.