به گزارش کارگروه امنیت سایبربان؛ محققان آزمایشگاه کسپرسکی حملات یک گروه هکر ناشناس چینی را کشف کردند که روی سازمانهای مخابراتی، تولیدی و حملونقل پاکستان، افغانستان و مالزی متمرکز بوده است.
محققان واکنش به رخدادهای رایانهای کسپرسکی اواسط اکتبر 2021 آلوده سازی فعال سیستمهای کنترل صنعتی پاکستان ازجمله رایانههای مهندسی در سیستمهای مدیریت ساختمان با در پشتی شدوپد (ShadowPad) را کشف کردند.
این موج از حملات شناساییشده شدوپد ازمارس 2021 آغازشده و برای کسب دسترسی اولیه به سیستمهای برخی از سازمانهای هدف از آسیبپذیری CVE-2021-26855 مایکروسافت اکسچنج استفادهشده است.
در طول تحقیقات، ابزارها و فرامین دیگری نیز کشف شدند که پس از آلودگی اولیه توسط مهاجمان مورداستفاده قرارگرفته است.
از مارس تا اکتبر 2021، در پشتی شدوپد تحت پوشش فایل mscoree.dll که توسط برنامه قانونی AppLaunch.exe راهاندازی میشود، در رایانههای هدف بارگذاری شده است.
مهاجمان برای راهاندازی شدوپد از متد هایجک دیالال (DLL hijacking) در ابزار قانونی OLE-COM (OleView) بهره بردهاند. پس از آلودگی اولیه، مهاجمان دستورات را بهصورت دستی و سپس بهصورت خودکار ارسال نمودهاند.
اهداف نهایی این کمپین ناشناخته باقیمانده است، اما محققان کسپرسکی احتمال میدهند هدف مهاجمان جمعآوری اطلاعات بوده است. به باور آنها، فعالیت هکرها ادامه خواهد داشت و در آینده میتوان منتظر کشف قربانیان جدید حملات این بدافزار و اپراتورهای آن در کشورهای مختلف بود.
