Investigadores de ciberseguridad han detallado el funcionamiento interno de Shadowpaduna puerta trasera sofisticada y modular que ha sido adoptada por un número creciente de grupos de amenazas chinos en los últimos años, mientras que también la vincula con las agencias de inteligencia civil y militar del país.
«ShadowPad se descifra en la memoria mediante un algoritmo de descifrado personalizado», dijeron los investigadores de Secureworks en un informe compartido con The Hacker News. «ShadowPad extrae información sobre el host, ejecuta comandos, interactúa con el sistema de archivos y el registro, e implementa nuevos módulos para ampliar la funcionalidad».
Shadowpad es una plataforma de malware modular que comparte superposiciones notables con el malware PlugX y que se ha utilizado en ataques de alto perfil contra NetSarang, CCleaner y ASUS, lo que provocó que los operadores cambiaran de táctica y actualizaran sus medidas defensivas.
Si bien las campañas iniciales que entregaron ShadowPad se atribuyeron a un grupo de amenazas rastreado como Atlas de bronce También conocido como Bario, ciudadanos chinos que trabajan para una empresa de seguridad de redes llamada Chengdu 404, desde entonces ha sido utilizado por varios grupos de amenazas chinos después de 2019.
En una descripción detallada del malware en agosto de 2021, la empresa de ciberseguridad SentinelOne calificó a ShadowPad como una «obra maestra del malware de venta privada en el espionaje chino». Un análisis posterior de PwC en diciembre de 2021 revelado un mecanismo de empaquetado a medida, llamado ScatterBee, que se utiliza para ofuscar las cargas útiles maliciosas de 32 y 64 bits para los binarios de ShadowPad.
Las cargas útiles de malware se implementan tradicionalmente en un host, ya sea encriptadas dentro de un cargador de DLL o incrustadas dentro de un archivo separado junto con un cargador de DLL, que luego descifra y ejecuta la carga útil de ShadowPad incrustada en la memoria utilizando un algoritmo de descifrado personalizado adaptado a la versión de malware.
Estos cargadores de DLL ejecutan el malware después de que un ejecutable legítimo vulnerable a Secuestro de orden de búsqueda de DLLuna técnica que permite la ejecución de malware secuestrando el método utilizado para buscar las DLL necesarias para cargar en un programa.
Ciertas cadenas de infección observadas por Secureworks también involucran un tercer archivo que contiene la carga útil cifrada de ShadowPad, que funciona mediante la ejecución del binario legítimo (p. ej., BDReinit.exe u Oleview.exe) para descargar la DLL que, a su vez, carga y descifra la tercera Archivo.
Alternativamente, el actor de amenazas ha colocado el archivo DLL en el directorio Windows System32 para que el Servicio de configuración de escritorio remoto (SessionEnv) lo cargue, lo que en última instancia conduce a la implementación de Cobalt Strike en sistemas comprometidos.
En un incidente de ShadowPad, las intrusiones allanaron el camino para lanzar ataques prácticos en el teclado, que se refieren a ataques en los que los piratas informáticos humanos inician sesión manualmente en un sistema infectado para ejecutar comandos por sí mismos en lugar de usar scripts automatizados.
Además, Secureworks atribuyó distintos grupos de actividad de ShadowPad, incluidos Bronce Ginebra (también conocido como Hellsing), mayordomo de bronce (también conocido como garrapata), y Bronce Huntley (también conocido como Equipo Tonto), a grupos de estados-nación chinos que operan en alineación con la Fuerza de Apoyo Estratégico del Ejército Popular de Liberación (PLASSF).
«Evidencia […] sugiere que ShadowPad ha sido implementado por SMS-grupos de amenazas afiliados, así como grupos de amenazas afiliados al EPL que operan en nombre de los comandos de teatro regionales”, dijeron los investigadores. alrededor de 2019″.
