APT组织利用Exchange漏洞部署ShadowPad后门攻击工控系统

最近的网络安全研究中发现，一个恶意攻击行动通过利用未修复的微软Exchange服务器作为初始访问跳板部署 ShadowPad 恶意软件，目前已攻击了阿富汗、马来西亚和巴基斯坦等国家的电信和制造相关组织机构。

该恶意攻击行动通过利用Exchange上未修复的漏洞将 ShadowPad 恶意软件部署进去，并以此为跳板渗透到楼宇自动化系统中，

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，ShadowPad是一种对外销售的模块化的恶意软件平台，于 2015 年作为 PlugX 的继任者出现，它可以允许用户远程部署其他插件，以实现攻击者想要的功能集合，而ShadowPad的牛逼之处在于包含了高级的反取证和反分析功能。

2019年11月，ESET的机器学习引擎Augur在位于两所香港高校的多台计算机上检测到一个恶意样本，该样本是已经在10月底发现的Winnti恶意软件。Augur检测到的可疑样本实际上是一个新的32位ShadowPad启动器。在这些高校中发现的ShadowPad和Winnti样本均包含恶意软件识别特征以及带有高校名称的C&C URL，这表明是有针对性的攻击。

安全研究人员表示，该恶意攻击行动的入侵始于 2021 年 3 月，就在 Exchange Server 中的 ProxyLogon 漏洞被公开的时候。据称，其中一些目标已通过利用 CVE-2021-26855（邮件服务器中的服务器端请求伪造 (SSRF) 漏洞）遭到破坏。

除了将 ShadowPad 部署为仿造.NET Framework 组件 mscoree.dll 外，该恶意攻击行动还涉及使用 Cobalt Strike以及用于远程访问的webshell等。

楼宇自动化系统是APT攻击的罕见目标，但是楼宇自动化系统往往是通往其他更高等级基础设施的捷径，应该引起安全防御团队的高度重视。