Malvér ShadowPad sa stáva obľúbenou voľbou čínskych špionážnych skupín

ShadowPad, neslávne známy Windows backdoor, ktorý útočníkom umožňuje sťahovať ďalšie škodlivé moduly alebo kradnúť údaje, používa od roku 2017 päť rôznych čínskych klastrov hrozieb.

“Prijatie ShadowPad výrazne znižuje náklady na vývoj a údržbu pre aktérov hrozieb,” uviedli výskumníci SentinelOne Yi-Jhen Hsieh a Joey Chen v podrobnom prehľade malvéru a dodali, že “niektoré skupiny hrozieb prestali vyvíjať svoje vlastné zadné vrátka po získaní prístupu.” do ShadowPad.”

Americká firma zaoberajúca sa kybernetickou bezpečnosťou nazvala ShadowPad „majstrovské dielo súkromne predávaného malvéru v čínskej špionáži“.

ShadowPad, nástupca PlugX a modulárnej malvérovej platformy od roku 2015, sa katapultoval do širokej pozornosti v dôsledku incidentov v dodávateľskom reťazci zameraných na NetSarang, CCleaner a ASUS, čo viedlo operátorov k zmene taktiky a aktualizácii ich obranných opatrení pomocou pokročilej antidetekcie a perzistencie. techniky.

Nedávno útoky zahŕňajúce ShadowPad vybrali organizácie v Hongkongu, ako aj kritickú infraštruktúru v Indii, Pakistane a ďalších krajinách Strednej Ázie. Hoci je implantát primárne pripisovaný APT41, je známe, že ho zdieľa niekoľko čínskych špionážnych aktérov, ako sú Tick, RedEcho, RedFoxtrot a klastre nazývané Operation Redbonus, Redkanku a Fishmonger.

“[The threat actor behind Fishmonger is] teraz ho používajú a ďalšie zadné vrátka s názvom Spyder ako svoje primárne zadné vrátka na dlhodobé monitorovanie, zatiaľ čo distribuujú ďalšie zadné vrátka prvej fázy pre počiatočné infekcie vrátane FunnySwitch, BIOPASS RAT a Cobalt Strike,” uviedli vedci. “Obete zahŕňajú univerzity, vlády, spoločnosti v mediálnom sektore, technologické spoločnosti a zdravotnícke organizácie vykonávajúce výskum COVID-19 v Hongkongu, Taiwane, Indii a USA“

Malvér funguje tak, že dešifruje a načíta koreňový doplnok do pamäte, ktorý sa stará o načítanie ďalších vstavaných modulov počas behu, okrem dynamického nasadzovania doplnkových doplnkov zo vzdialeného servera príkazov a ovládania (C2), čo umožňuje protivníkom začleniť ďalšie funkcie. nie je predvolene zabudovaný do malvéru. Doteraz bolo identifikovaných najmenej 22 jedinečných doplnkov.

Infikované počítače sú ovládané radičom založeným na Delphi, ktorý sa používa na komunikáciu zadnými vrátkami, aktualizáciu infraštruktúry C2 a správu doplnkov.

Zaujímavé je, že sadu funkcií sprístupnenú používateľom ShadowPad nielenže prísne kontroluje predajca, ale každý doplnok sa predáva samostatne namiesto toho, aby ponúkal celý balík obsahujúci všetky moduly, pričom väčšina vzoriek – z približne 100 – obsahuje menej ako deväť. pluginy.

„Vznik ShadowPad, súkromne predávaného, ​​dobre vyvinutého a funkčného zadného vrátka, ponúka aktérom hrozieb dobrú príležitosť, ako sa vzdialiť od samostatne vyvinutých zadných vrátok,“ uviedli vedci. „Aj keď je dobre navrhnutý a je veľmi pravdepodobné, že ho vytvorí skúsený vývojár malvéru, jeho funkcie aj anti-forenzné schopnosti sa aktívne vyvíjajú.“