Eine Spionagegefahrgruppe, bekannt als „Redfly“, hat sich in das Netzwerk einer nationalen Elektrizitätsorganisation in Asien gehackt und sechs Monate unbemerkt Zugriff darauf behalten.

Diese neuen Erkenntnisse stammen von Symantec. Sie fanden Hinweise auf Aktivitäten der ShadowPad-Malware im Netzwerk der Organisation zwischen dem 28. Februar und dem 3. August 2023, zusammen mit Keyloggern und spezialisierten Dateistartprogrammen.

Obwohl ShadowPad ein weit verbreiteter Trojaner ist, den mehrere APT-Gruppen nutzen, klassifiziert Symantec die jüngsten Angriffe gesondert und berichtet, dass Redfly sich anscheinend ausschließlich auf kritische nationale Infrastrukturen konzentriert.

Redflys Werkzeugkasten: Die in den Angriffen beobachtete ShadowPad-Variante tarnt ihre Komponenten (exe und dll) als VMware-Dateien und platziert sie im Dateisystem des Opfers.

Das Programm bleibt auch bestehen, indem es Dienste erstellt, die wiederum nach VMware benannt sind, und die schädliche ausführbare Datei und DLL beim Systemstart ausführt. Generell ist ShadowPad ein vielseitiger modulare RAT, der Datenexfiltration zum C2, Tastenanschlagaufzeichnung, Dateisuche und Dateioperationen sowie die Remote-Befehlsausführung unterstützt.

Mehrere APTs nutzen ihn, weil er nicht mit einem einzigen Akteur in Verbindung gebracht wird, was die Zuordnung und Verfolgung für Analysten erschwert. In den beobachteten Angriffen verwendete Redfly ein separates Keylogging-Tool, das Tastenanschläge in Protokolldateien auf dem kompromittierten System erfasste, die die Angreifer manuell abrufen konnten.

Ein weiteres von den Spionagehackern verwendetes Tool ist Packerloader, das zum Laden und Ausführen von Shellcode in AES-verschlüsselten Dateien verwendet wird, die AV-Erkennung umgehen können. Die Angreifer setzten dieses Tool ein, um Code auszuführen, der die Berechtigungen einer Treiberdatei änderte, die anschließend zum Erstellen von Anmeldedaten-Dumps im Windows-Register (zur späteren Abholung) und zum Löschen von Windows-Sicherheitsereignisprotokollen verwendet wurde.

Redfly verwendet auch PowerShell, um Befehle auszuführen, mit denen sie Informationen über bestimmte Speichergeräte auf dem kompromittierten System sammeln können.

Für die seitliche Bewegung verwenden die Hacker DLL-Seitladen, legitime ausführbare Dateien, geplante Aufgaben, die legitime Binärdateien ausführen, und gestohlene Anmeldedaten.

Redfly setzte auch umbenannte Versionen bekannter Tools ein, wie ProcDump, um Anmeldedaten aus LSASS zu extrahieren und sie zur Authentifizierung auf benachbarten Systemen zu verwenden.

Die lange Verweildauer, die bei diesem Angriff beobachtet wurde, ist charakteristisch für Spionageakteure, die Systeme infizieren und ein niedriges Profil beibehalten, um so viele Informationen wie möglich zu sammeln. Obwohl die Absicht der Angreifer, die Stromversorgung zu stören, unklar bleibt, stellt das potenzielle Risiko eine erhebliche Bedrohung dar.

Eine solche Störung hätte umfangreiche Schäden für die Kunden des Energieanbieters und tiefgreifende wirtschaftliche Auswirkungen für die gesamte Nation zur Folge gehabt.