Cybersecurity-onderzoekers hebben de interne werking van ShadowPadeen geavanceerde en modulaire achterdeur die de afgelopen jaren door een groeiend aantal Chinese dreigingsgroepen is geadopteerd, en tegelijkertijd is gekoppeld aan de civiele en militaire inlichtingendiensten van het land.
“ShadowPad wordt in het geheugen gedecodeerd met behulp van een aangepast decoderingsalgoritme”, zeiden onderzoekers van Secureworks in een rapport dat werd gedeeld met The Hacker News. “ShadowPad extraheert informatie over de host, voert commando’s uit, communiceert met het bestandssysteem en register en implementeert nieuwe modules om de functionaliteit uit te breiden.”
ShadowPad is een modulair malwareplatform dat merkbare overlappingen met de PlugX-malware deelt en dat is gebruikt bij spraakmakende aanvallen tegen NetSarang, CCleaner en ASUS, waardoor de operators van tactiek veranderden en hun verdedigingsmaatregelen bijwerkten.
Terwijl de eerste campagnes die ShadowPad leverden, werden toegeschreven aan een dreigingscluster die werd bijgehouden als: Bronzen Atlas ook bekend als Barium – Chinese staatsburgers die werken voor een netwerkbeveiligingsbedrijf genaamd Chengdu 404 – het is sindsdien gebruikt door meerdere Chinese dreigingsgroepen na 2019.
In een gedetailleerd overzicht van de malware in augustus 2021 noemde cyberbeveiligingsbedrijf SentinelOne ShadowPad een “meesterwerk van particulier verkochte malware in Chinese spionage”. Een volgende analyse door PwC in december 2021 onthuld een op maat gemaakt verpakkingsmechanisme – genaamd ScatterBee – dat wordt gebruikt om kwaadaardige 32-bits en 64-bits payloads voor ShadowPad-binaire bestanden te verdoezelen.
De malware-payloads worden traditioneel ingezet op een host ofwel versleuteld in een DLL-lader of ingebed in een afzonderlijk bestand samen met een DLL-lader, die vervolgens de ingebedde ShadowPad-payload in het geheugen decodeert en uitvoert met behulp van een aangepast decoderingsalgoritme dat is afgestemd op de malwareversie.
Deze DLL-laders voeren de malware uit nadat ze zijn gesideload door een legitiem uitvoerbaar bestand dat kwetsbaar is voor: Kaping van DLL-zoekopdrachteneen techniek die de uitvoering van malware mogelijk maakt door de methode te kapen die wordt gebruikt om te zoeken naar vereiste DLL’s om in een programma te laden.
Bepaalde infectieketens die door Secureworks worden waargenomen, omvatten ook een derde bestand dat de versleutelde ShadowPad-payload bevat, die werkt door het legitieme binaire bestand uit te voeren (bijv. BDReinit.exe of Oleview.exe) om de DLL te sideloaden die op zijn beurt de derde laadt en decodeert het dossier.
Als alternatief heeft de dreigingsactor het DLL-bestand in de Windows System32-directory geplaatst om te worden geladen door de Remote Desktop Configuration (SessionEnv) Service, wat uiteindelijk heeft geleid tot de implementatie van Cobalt Strike op gecompromitteerde systemen.
In één ShadowPad-incident maakten de inbraken de weg vrij voor het lanceren van hands-on-keyboard-aanvallen, die verwijzen naar aanvallen waarbij menselijke hackers handmatig inloggen op een geïnfecteerd systeem om zelf opdrachten uit te voeren in plaats van geautomatiseerde scripts te gebruiken.
Bovendien schreef Secureworks verschillende ShadowPad-activiteitsclusters toe, waaronder: Bronzen Genève (ook bekend als Hellsing), Bronzen butler (ook bekend als Tick), en Bronzen Huntley (ook bekend als Tonto Team), aan Chinese natiestaatgroepen die samenwerken met de People’s Liberation Army Strategic Support Force (PLASSF).
“Bewijs […] suggereert dat ShadowPad is ingezet door: MSS-gelieerde bedreigingsgroepen, evenals aan PLA gelieerde bedreigingsgroepen die opereren namens de regionale theatercommando’s”, aldus de onderzoekers. “De malware is waarschijnlijk ontwikkeld door bedreigingsactoren die zijn aangesloten bij Bronze Atlas en vervolgens gedeeld met MSS- en PLA-bedreigingsgroepen rond 2019.”
