Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Вредоносное ПО ShadowPad стало любимым инструментом китайских шпионов

24/08/21

hack44-Aug-24-2021-08-57-34-00-AM

Windows-бэкдор под названием ShadowPad, позволяющий злоумышленникам загружать дополнительные вредоносные модули или красть данные, с 2017 года активно используется пятью различными китайскими кибершпионскими группировками.

По словам исследователей в области кибербезопасности из SentinelOne, использование ShadowPad значительно снижает затраты на разработку и обслуживание вредоносов для злоумышленников. Как отметили эксперты, «некоторые группировки прекратили разработку собственных бэкдоров после того, как получили доступ к ShadowPad».

ИБ-эксперты назвали ShadowPad «шедевром китайского шпионажа в частном секторе вредоносных программ». Будучи преемником PlugX, ShadowPad привлек к себе всеобщее внимание после атак на цепочку поставок NetSarang, CCleaner и ASUS.

Атаки с применением ShadowPad затронули организации в Гонконге, а также критически важную инфраструктуру в Индии, Пакистане и других странах Центральной Азии. Хотя эксперты в первую очередь связывают вредонос с APT41, он также используется китайскими шпионскими группировками Tick, RedEcho, RedFoxtrot, Operation Redbonus, Redkanku и Fishmonger.

Вредоносная программа расшифровывает и загружает в память устройства подключаемый модуль Root, обеспечивающий загрузку других встроенных модулей, в дополнение к динамическому развертыванию дополнительных подключаемых модулей с удаленного C&C-сервера. Это позволяет злоумышленникам использовать дополнительные функции, по умолчанию не встроенные во вредоносное ПО. На сегодня идентифицировано как минимум 22 уникальных плагина.

Зараженные компьютерные системы управляются контроллером на базе Delphi, который используется для обмена данными через бэкдор, обновления инфраструктуры C&C-сервера и управления плагинами.

Как отметили ИБ-эксперты, набор функций, доступный для пользователей ShadowPad, жестко контролируется продавцом. Каждый плагин продается отдельно, и большинство образцов содержит менее чем девять плагинов.

Темы:WindowsКитайПреступлениябэкдорыКиберугрозы
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...