Μια ομάδα άγνωστων χάκερ παραβίασε μια πακιστανική κυβερνητική εφαρμογή και τη χρησιμοποίησε για να μολύνει τα θύματα με το κακόβουλο λογισμικό Shadowpad που συνδέεται με την Κίνα, σύμφωνα με ερευνητές.

Δείτε επίσης: JumpCloud: Hacking επίθεση οδήγησε σε παραβίαση

Η εταιρεία κυβερνοασφάλειας Trend Micro εντόπισε τρεις οντότητες στο Πακιστάν που αποτέλεσαν στόχο του Shadowpad πέρυσι: μια ανώνυμη κυβερνητική υπηρεσία, μια κρατική τράπεζα και έναν πάροχο τηλεπικοινωνιών.

Οι ερευνητές πιστεύουν ότι μπορεί να ήταν μια επίθεση στην αλυσίδα εφοδιασμού, κατά την οποία οι χάκερς παραβιάζουν λογισμικό τρίτων για να αποκτήσουν πρόσβαση στους επιθυμητούς στόχους τους.

Στο περιστατικό αυτό, οι χάκερ τροποποίησαν έναν εγκαταστάτη της Microsoft που κατασκευάστηκε από μια πακιστανική κυβερνητική οντότητα για την εφαρμογή E-Office, η οποία βοηθά τις δημόσιες υπηρεσίες της χώρας να μην χρησιμοποιούν χαρτί.

Δείτε επίσης: Οι χάκερ εκμεταλλεύονται ενεργά δύο ευπάθειες του ColdFusion

Αυτή η εφαρμογή προορίζεται μόνο για κυβερνητικούς φορείς και δεν είναι διαθέσιμη στο κοινό.

Οι χάκερ πρόσθεσαν τρία αρχεία στο νόμιμο πρόγραμμα εγκατάστασης της Microsoft προκειμένου να φορτώσουν ένα κακόβουλο ωφέλιμο φορτίο.

Το Shadowpad, μια προηγμένη οικογένεια malware που ανακαλύφθηκε για πρώτη φορά το 2017 μετά από μια επίθεση στην αλυσίδα εφοδιασμού στο δημοφιλές εργαλείο καθαρισμού υπολογιστών CCleaner, πιστεύεται ότι αναπτύχθηκε από τον κινεζικό φορέα κατασκοπείας, γνωστό ως APT41 ή Barium.

Οι ερευνητές δήλωσαν ότι δεν βρήκαν αρκετά στοιχεία για να αποδώσουν αυτή την επίθεση σε κάποιον γνωστό απειλητικό φορέα. Ωστόσο, το γεγονός ότι οι χάκερ είχαν πρόσβαση σε μια πρόσφατη έκδοση του Shadowpad ενδεχομένως την συνδέει με το δίκτυο κινεζικών ομάδων απειλών, σύμφωνα με την Trend Micro.

Το Shadowpad είναι μια κοινή οικογένεια κακόβουλου λογισμικού και από το 2019 διανέμεται από πολλούς κινεζικούς απειλητικοί φορείς κατασκοπείας, συμπεριλαμβανομένων των Earth Akhlut και Earth Lusca, γεγονός που καθιστά την απόδοση περίπλοκη.

Σε ένα από τα περιβάλλοντα των θυμάτων, οι ερευνητές βρήκαν πολλαπλές οικογένειες κακόβουλου λογισμικού στις οποίες μπορούσαν να αποδώσουν “με μεγάλη εμπιστοσύνη” στην κινεζική ομάδα hacking Calypso.

Δείτε επίσης: Η ομάδα Red Menshen εξελίσσει ταχύτατα το BPFDoor malware

Τον Ιούνιο, ένας άγνωστος μέχρι στιγμής κινεζόφωνος απειλητικός παράγοντας εκμεταλλεύτηκε μια ευπάθεια στον Microsoft Exchange Server για να στοχεύσει τους τομείς των τηλεπικοινωνιών, της μεταποίησης και των μεταφορών στο Αφγανιστάν, τη Μαλαισία και το Πακιστάν με το κακόβουλο λογισμικό Shadowpad.

Κατά τη διάρκεια αυτών των επιθέσεων, το Shadowpad backdoor μεταφορτώθηκε στους επιτιθέμενους υπολογιστές υπό το πρόσχημα νόμιμου λογισμικού.

Πηγή πληροφοριών: therecord.media