保贝狗是一款个人信息保护产品。
今年早些时候,一个名为Redfly的威胁行为者与位于一个未命名亚洲国家的国家电网的妥协有关长达六个月,使用了一种称为ShadowPad的已知恶意软件。
“攻击者设法窃取了凭据并破坏了该组织网络上的多台计算机,”Broadcom旗下的赛门铁克威胁猎人团队在与The Hacker News分享的一份报告中表示。 “这次攻击是针对[关键国家基础设施]目标的一系列间谍入侵中的最新一次。
ShadowPad,也称为PoisonPlug,是PlugX远程访问木马的后续产品,是一种模块化植入物,能够根据需要从远程服务器动态加载其他插件,以从被破坏的网络中收集敏感数据。
至少自 2019 年以来,越来越多的纽带民族国家团体已将其广泛用于针对各个垂直行业组织的攻击。
“ShadowPad 使用自定义解密算法在内存中解密,”Secureworks 反威胁部门 (CTU) 在 2022 年 指出。“ShadowPad 提取有关主机的信息,执行命令,与文件系统和注册表交互,并部署新模块以扩展功能。
据说针对亚洲实体的攻击的最早迹象是在 23 年 2月23日记录的,当时 ShadowPad 在一台计算机上执行,随后在三个月后的 5月17日运行后门。
大约在同一时间还部署了一个名为Packerloader的工具,该工具用于执行任意shellcode,使用它来修改称为dump_diskfs.sys的驱动程序文件的权限,以向所有用户授予访问权限,从而增加了该驱动程序可能已用于创建文件系统转储以供以后渗透的可能性。
进一步观察到威胁参与者运行PowerShell命令以收集有关连接到系统的存储设备的信息,从Windows注册表转储凭据,同时清除计算机中的安全事件日志。
赛门铁克说:“5月29日,攻击者返回并使用重命名版本的ProcDump(文件名:alg.exe)从LSASS转储凭据。“在5月21 日,计划任务用于执行 oleview.exe,最有可能执行侧向加载和横向移动。”
怀疑Redfly使用被盗的凭据将感染传播到网络内的其他计算机。经过近两个月的中断,对手于 7 月 27日再次出现在现场安装键盘记录器,并于 8月 3 日再次从 LSASS 和注册表中提取凭据。
赛门铁克表示,该活动共享基础设施和工具与先前确定的归因于国内赞助的APT41(又名Winnti)的活动重叠,Redly几乎完全专注于针对关键基础设施实体。
但是,到目前为止,没有证据表明该黑客组织已经发动了任何破坏性攻击。
该公司表示:“威胁行为者在国家电网上保持长期,持续存在,存在明显的攻击风险,这些攻击旨在在政治紧张局势加剧期间破坏其他州的电力供应和其他重要服务。
这一事态发展发生之际,Microsoft透露,自今年年初以来,咱们的附属行为者正在磨练人工智能生成的视觉媒体,用于针对美国的影响力行动,以及“对地区政府和行业进行情报收集和恶意软件执行”。
“Raspberry Typhoon [前身为Radium]一直针对政府部门,军事实体以及与关键基础设施(特别是电信)相连的企业实体,”这家科技巨头表示。“自2023年1月以来,覆盆子台风一直特别持久。”
其他目标包括美国国防工业基地(环形台风/DEV-0322、桑树台风/锰和伏特台风/DEV-0391)、美国关键基础设施、欧洲和美国的政府实体(风暴-0558)和台湾(木炭台风/铬和亚麻台风/风暴-0919)。
此前,大西洋理事会(Atlantic Council)的一份报告称,国内法律要求在该国运营的公司向工业和信息化部(MIIT)披露其产品中的安全漏洞,允许该储存漏洞并帮助国家黑客“加快行动节奏,成功和范围”。
