APT组织利用Exchange漏洞部署ShadowPad后门攻击工控系统

APT黑客针对工业控制系统的ShadowPad后门

最近的网络安全研究中发现,一个恶意攻击行动通过利用未修复的微软Exchange服务器作为初始访问跳板部署 ShadowPad 恶意软件,目前已攻击了阿富汗、马来西亚和巴基斯坦等国家的电信和制造相关组织机构。

该恶意攻击行动通过利用Exchange上未修复的漏洞将 ShadowPad 恶意软件部署进去,并以此为跳板渗透到楼宇自动化系统中,

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,ShadowPad是一种对外销售的模块化的恶意软件平台,于 2015 年作为 PlugX 的继任者出现,它可以允许用户远程部署其他插件,以实现攻击者想要的功能集合,而ShadowPad的牛逼之处在于包含了高级的反取证和反分析功能。

2019年11月,ESET的机器学习引擎Augur在位于两所香港高校的多台计算机上检测到一个恶意样本,该样本是已经在10月底发现的Winnti恶意软件。Augur检测到的可疑样本实际上是一个新的32位ShadowPad启动器。在这些高校中发现的ShadowPad和Winnti样本均包含恶意软件识别特征以及带有高校名称的C&C URL,这表明是有针对性的攻击。

安全研究人员表示,该恶意攻击行动的入侵始于 2021 年 3 月,就在 Exchange Server 中的 ProxyLogon 漏洞被公开的时候。据称,其中一些目标已通过利用 CVE-2021-26855(邮件服务器中的服务器端请求伪造 (SSRF) 漏洞)遭到破坏。

除了将 ShadowPad 部署为仿造.NET Framework 组件 mscoree.dll 外,该恶意攻击行动还涉及使用 Cobalt Strike以及用于远程访问的webshell等。

楼宇自动化系统是APT攻击的罕见目标,但是楼宇自动化系统往往是通往其他更高等级基础设施的捷径,应该引起安全防御团队的高度重视。

 

APT组织利用Exchange漏洞部署ShadowPad后门攻击工控系统

极牛网精选文章《APT组织利用Exchange漏洞部署ShadowPad后门攻击工控系统》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/19924.html

(30)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
攻防实验室的头像攻防实验室认证作者
上一篇 2022年6月28日 上午11:58
下一篇 2022年7月2日 上午11:05

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部