استفاده از بدافزار ShadowPad در حمله به سیستم‌های کنترل صنعتی

به گزارش کارگروه امنیت سایبربان؛ محققان آزمایشگاه کسپرسکی حملات یک گروه هکر ناشناس چینی را کشف کردند که روی سازمان‌های مخابراتی، تولیدی و حمل‌ونقل پاکستان، افغانستان و مالزی متمرکز بوده است.

محققان واکنش به رخدادهای رایانه‌ای کسپرسکی اواسط اکتبر 2021 آلوده سازی فعال سیستم‌های کنترل صنعتی پاکستان ازجمله رایانه‌های مهندسی در سیستم‌های مدیریت ساختمان با در پشتی شدوپد (ShadowPad) را کشف کردند.

این موج از حملات شناسایی‌شده شدوپد ازمارس 2021 آغازشده و برای کسب دسترسی اولیه به سیستم‌های برخی از سازمان‌های هدف از آسیب‌پذیری CVE-2021-26855 مایکروسافت اکسچنج استفاده‌شده است. 

در طول تحقیقات، ابزارها و فرامین دیگری نیز کشف شدند که پس از آلودگی اولیه توسط مهاجمان مورداستفاده قرارگرفته است. 

از مارس تا اکتبر 2021، در پشتی شدوپد تحت پوشش فایل mscoree.dll که توسط برنامه قانونی AppLaunch.exe راه‌اندازی می‌شود، در رایانه‌های هدف بارگذاری شده است. 

مهاجمان برای راه‌اندازی شدوپد از متد هایجک دی‌ال‌ال (DLL hijacking) در ابزار قانونی OLE-COM (OleView) بهره برده‌اند. پس از آلودگی اولیه، مهاجمان دستورات را به‌صورت دستی و سپس به‌صورت خودکار ارسال نموده‌اند.

اهداف نهایی این کمپین ناشناخته باقی‌مانده است، اما محققان کسپرسکی احتمال می‌دهند هدف مهاجمان جمع‌آوری اطلاعات بوده است. به باور آن‌ها، فعالیت هکرها ادامه خواهد داشت و در آینده می‌توان منتظر کشف قربانیان جدید حملات این بدافزار و اپراتورهای آن در کشورهای مختلف بود.