Команда Symantec Threat Hunter Team обнаружила доказательства того, что в начале этого года группа злоумышленников, которую Symantec называет Redfly, использовала троянца ShadowPad для компрометации национальной сети в одной из азиатских стран на протяжении шести месяцев. Злоумышленникам удалось похитить учетные данные и скомпрометировать несколько компьютеров в сети организации.
Эта атака стала последней в серии шпионских вторжений в сети CNI. В мае 2023 года правительства США, Великобритании, Австралии, Канады и Новой Зеландии выпустили совместное предупреждение об угрозах, направленных на организации CNI в США с использованием методов, которые потенциально могут быть воспроизведены против объектов в других странах. Предупреждение последовало за сообщением компании Microsoft о Volt Typhoon - агенте шпионажа, скомпрометировавшем несколько организаций критической инфраструктуры в США.
ShadowPad - модульный троянец удаленного доступа (RAT), созданный как преемник троянца Korplug/PlugX и некоторое время продававшийся на подпольных форумах. Однако, несмотря на его происхождение как общедоступного инструмента, он продавался публично лишь в течение очень короткого времени, по сообщениям, нескольким покупателям. С тех пор он был тесно связан со шпионажем.
Хотя известно, что ShadowPad используется многими субъектами современных постоянных угроз (APT), выявленные инструменты и инфраструктура, использованные в недавней кампании, направленной против национальной энергосистемы, пересекаются с ранее зарегистрированными атаками, приписываемыми группе APT41 (известной также как Brass Typhoon, Wicked Panda, Winnti и Red Echo). Symantec отслеживает эту группу как несколько отдельных субъектов, таких как Blackfly и Grayfly, причем связи между этими группами обсуждались и ранее. В настоящее время деятельность, выявленная в рамках данной кампании, отслеживается отдельной группой, которую Symantec назвала Redfly и которая, судя по всему, занимается исключительно атаками на CNI.
Indicators of Compromise
Domains
- websencl.com
SHA256
- 01f4e6f32070234b4203507be22cfb9d3d73b4bbd5100f62271e2161ec8813b7
- 16f413862efda3aba631d8a7ae2bfff6d84acd9f454a7adaa518c7a8a6f375a5
- 231d21ceefd5c70aa952e8a21523dfe6b5aae9ae6e2b71a0cdbe4e5430b4f5b3
- 2e642afdd36c129e6b50ae919ca608ac0006ce337f2a5a7a6fb1eef6a4ad99e7
- 32d709d8d41e4ede6861ce27c9e2bb86d83be8336b45a17f567bab1869c6600a
- 656582bf82205ac3e10b46cbbcf8abb56dd67092459093f35ce8daa64f379a2c
- 73993d3b9aebf8dee50a144cf7e56b49d222a42600171df62c13d3f96824db60
- 8dbc8b756cb724e2d6dc9c7c40f22c48022a8ee48da6685c4ccf580c6b5183cf
- ac6938e03f2a076152ee4ce23a39a0bfcd676e4f0b031574d442b6e2df532646
- d9438cd2cdc83e8efad7b0c9a825466efea709335b63d6181dfdc57fb1f4a4e3
