Эволюция Shadowpad: новая угроза в кибербезопасности

Источник: www.trendmicro.com
Модульное семейство вредоносных программ Shadowpad, впервые обнаруженное в 2017 году и приписываемое китайскому хакеру APT41, стало основой для развертывания нового, необнаруженного семейства программ-вымогателей. Эти изменения в методах атаки требуют повышения внимания к кибербезопасности со стороны компаний по всему миру.
Новые тактики атаки
Расследование двух инцидентов выявило, что злоумышленники использовали следующие методы:
- Слабые пароли и обход многофакторной аутентификации (MFA).
- Удаленный доступ к VPN с использованием учетных записей администратора.
- Получение действительных сертификатов для обхода механизмов защиты от несанкционированного доступа.
Пострадавшими оказались 21 компания из различных регионов, включая Европу, Ближний Восток, Азию и Южную Америку.
Разнообразие методов внедрения
Инциденты включали развертывание вредоносного ПО Shadowpad в сетях-жертвах, включая:
- Контроллеры домена.
- Классическую шпионскую деятельность.
В некоторых случаях злоумышленники переходили от шпионских действий к развертыванию программ-вымогателей, что является новым отклонением от обычной тактики.
Сложные функции Shadowpad
Shadowpad характеризуется рядом сложных функций, включая:
- Ведение кейлогга.
- Захват скриншотов.
- Поиск файлов.
Полезная информация зашифрована и скрыта в системном реестре с использованием уникального серийного номера тома, а вредоносная программа использует DNS через HTTPS, что усложняет традиционные методы мониторинга сети.
Тревожные перспективы
Методы работы злоумышленников указывают на цели сбора разведывательной информации, включая:
- Потенциальную кражу интеллектуальной собственности.
- Атаки на производственный сектор, который подвергся серьезным угрозам.
Кроме того, удаленные артефакты, такие как информация Active Directory и создание архивов RAR, указывают на систематическую практику утечки данных.
Высокая степень сложности
Характеристики новой программы-вымогателя, использующей шифрование AES и RSA, отражают высокий уровень сложности, соответствующий стандартам APT. Существует также слабая связь с хакером Teleboyi, основанная на анализе образца PlugX, но эта связь остается неопределенной. Эволюция Shadowpad включает в себя:
- Значительные функции обфускации кода.
- Защиту от отладки, что затрудняет анализ.
Это подчеркивает адаптивную способность злоумышленников в ответ на меры безопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



