最近的网络安全研究中发现,一个恶意攻击行动通过利用未修复的微软Exchange服务器作为初始访问跳板部署 ShadowPad 恶意软件,目前已攻击了阿富汗、马来西亚和巴基斯坦等国家的电信和制造相关组织机构。
该恶意攻击行动通过利用Exchange上未修复的漏洞将 ShadowPad 恶意软件部署进去,并以此为跳板渗透到楼宇自动化系统中,
根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,ShadowPad是一种对外销售的模块化的恶意软件平台,于 2015 年作为 PlugX 的继任者出现,它可以允许用户远程部署其他插件,以实现攻击者想要的功能集合,而ShadowPad的牛逼之处在于包含了高级的反取证和反分析功能。
2019年11月,ESET的机器学习引擎Augur在位于两所香港高校的多台计算机上检测到一个恶意样本,该样本是已经在10月底发现的Winnti恶意软件。Augur检测到的可疑样本实际上是一个新的32位ShadowPad启动器。在这些高校中发现的ShadowPad和Winnti样本均包含恶意软件识别特征以及带有高校名称的C&C URL,这表明是有针对性的攻击。
安全研究人员表示,该恶意攻击行动的入侵始于 2021 年 3 月,就在 Exchange Server 中的 ProxyLogon 漏洞被公开的时候。据称,其中一些目标已通过利用 CVE-2021-26855(邮件服务器中的服务器端请求伪造 (SSRF) 漏洞)遭到破坏。
除了将 ShadowPad 部署为仿造.NET Framework 组件 mscoree.dll 外,该恶意攻击行动还涉及使用 Cobalt Strike以及用于远程访问的webshell等。
楼宇自动化系统是APT攻击的罕见目标,但是楼宇自动化系统往往是通往其他更高等级基础设施的捷径,应该引起安全防御团队的高度重视。
热门跟贴