Эволюция Shadowpad: новая угроза в кибербезопасности

Эволюция Shadowpad: новая угроза в кибербезопасности

Источник: www.trendmicro.com

Модульное семейство вредоносных программ Shadowpad, впервые обнаруженное в 2017 году и приписываемое китайскому хакеру APT41, стало основой для развертывания нового, необнаруженного семейства программ-вымогателей. Эти изменения в методах атаки требуют повышения внимания к кибербезопасности со стороны компаний по всему миру.

Новые тактики атаки

Расследование двух инцидентов выявило, что злоумышленники использовали следующие методы:

  • Слабые пароли и обход многофакторной аутентификации (MFA).
  • Удаленный доступ к VPN с использованием учетных записей администратора.
  • Получение действительных сертификатов для обхода механизмов защиты от несанкционированного доступа.

Пострадавшими оказались 21 компания из различных регионов, включая Европу, Ближний Восток, Азию и Южную Америку.

Разнообразие методов внедрения

Инциденты включали развертывание вредоносного ПО Shadowpad в сетях-жертвах, включая:

  • Контроллеры домена.
  • Классическую шпионскую деятельность.

В некоторых случаях злоумышленники переходили от шпионских действий к развертыванию программ-вымогателей, что является новым отклонением от обычной тактики.

Сложные функции Shadowpad

Shadowpad характеризуется рядом сложных функций, включая:

  • Ведение кейлогга.
  • Захват скриншотов.
  • Поиск файлов.

Полезная информация зашифрована и скрыта в системном реестре с использованием уникального серийного номера тома, а вредоносная программа использует DNS через HTTPS, что усложняет традиционные методы мониторинга сети.

Тревожные перспективы

Методы работы злоумышленников указывают на цели сбора разведывательной информации, включая:

  • Потенциальную кражу интеллектуальной собственности.
  • Атаки на производственный сектор, который подвергся серьезным угрозам.

Кроме того, удаленные артефакты, такие как информация Active Directory и создание архивов RAR, указывают на систематическую практику утечки данных.

Высокая степень сложности

Характеристики новой программы-вымогателя, использующей шифрование AES и RSA, отражают высокий уровень сложности, соответствующий стандартам APT. Существует также слабая связь с хакером Teleboyi, основанная на анализе образца PlugX, но эта связь остается неопределенной. Эволюция Shadowpad включает в себя:

  • Значительные функции обфускации кода.
  • Защиту от отладки, что затрудняет анализ.

Это подчеркивает адаптивную способность злоумышленников в ответ на меры безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: