24/08/21
Windows-бэкдор под названием ShadowPad, позволяющий злоумышленникам загружать дополнительные вредоносные модули или красть данные, с 2017 года активно используется пятью различными китайскими кибершпионскими группировками.
По словам исследователей в области кибербезопасности из SentinelOne, использование ShadowPad значительно снижает затраты на разработку и обслуживание вредоносов для злоумышленников. Как отметили эксперты, «некоторые группировки прекратили разработку собственных бэкдоров после того, как получили доступ к ShadowPad».
ИБ-эксперты назвали ShadowPad «шедевром китайского шпионажа в частном секторе вредоносных программ». Будучи преемником PlugX, ShadowPad привлек к себе всеобщее внимание после атак на цепочку поставок NetSarang, CCleaner и ASUS.
Атаки с применением ShadowPad затронули организации в Гонконге, а также критически важную инфраструктуру в Индии, Пакистане и других странах Центральной Азии. Хотя эксперты в первую очередь связывают вредонос с APT41, он также используется китайскими шпионскими группировками Tick, RedEcho, RedFoxtrot, Operation Redbonus, Redkanku и Fishmonger.
Вредоносная программа расшифровывает и загружает в память устройства подключаемый модуль Root, обеспечивающий загрузку других встроенных модулей, в дополнение к динамическому развертыванию дополнительных подключаемых модулей с удаленного C&C-сервера. Это позволяет злоумышленникам использовать дополнительные функции, по умолчанию не встроенные во вредоносное ПО. На сегодня идентифицировано как минимум 22 уникальных плагина.
Зараженные компьютерные системы управляются контроллером на базе Delphi, который используется для обмена данными через бэкдор, обновления инфраструктуры C&C-сервера и управления плагинами.
Как отметили ИБ-эксперты, набор функций, доступный для пользователей ShadowPad, жестко контролируется продавцом. Каждый плагин продается отдельно, и большинство образцов содержит менее чем девять плагинов.
