25/11/25
По данным южнокорейской компании AhnLab, неизвестная группа получала доступ к серверам Windows с включённым WSUS, используя ошибку CVE-2025-59287. Через неё выполнялись стандартные системные утилиты, позволяющие связаться с внешним сервером и загрузить вредоносный код. Перед установкой основного инструмента применялась утилита PowerCat, которая давала атакующим удалённую командную строку. Затем с использованием certutil и curl на систему попадал ShadowPad, пишет Securitylab.
Эта программа считается развитием PlugX и давно используется структурами, связанными с Китаем. Её архитектура опирается на модульную схему, а запуск выполняется через подмену библиотек. В легитимный файл ETDCtrlHelper.exe подгружается DLL-файл, находящийся в памяти и отвечающий за выполнение основного содержимого. Внутри разворачивается модуль, который загружает дополнительные компоненты, а также применяет средства сокрытия и механизмы закрепления в системе.
Ошибку CVE-2025-59287 Microsoft устранила месяц назад. Она относится к критическим, поскольку позволяет выполнить произвольный код с системными правами. После появления демонстрационного варианта эксплуатации многие группы начали массово проверять доступные WSUS-серверы, получать первичный доступ, проводить разведку и загружать как вредоносные файлы, так и легитимные инструменты администрирования. По наблюдениям AhnLab, именно так на серверах и появлялся ShadowPad.
