Erkennung von ShadowPad-Malware: Beliebtes Hintertürprogramm bei chinesischen Spionageaktivitäten
Inhaltsverzeichnis:
ShadowPad ist ein modularer Backdoor, der bei in China ansässigen Bedrohungsakteuren sehr beliebt ist, einschließlich solcher Spionageaktivitätsgruppen wie BRONZE UNIVERSITY, BRONZE RIVERSIDE, BRONZE STARLIGHT und BRONZE ATLAS.
Die Malware wird verwendet, um weitere bösartige Nutzlasten herunterzuladen, wodurch ein breiteres Ausbeutungspotenzial eröffnet wird. Laut den Forschungsdaten gehen die Wurzeln der Malware auf die PlugX Malware zurück.
Erkennen von ShadowPad-Malware
Um Organisationen proaktiv gegen neue ShadowPad-Malware-Proben zu verteidigen, hat SOC Prime eine einzigartige Sigma-Regel mit erweitertem Kontext veröffentlicht:
Mögliche Jetbrains Launcher Proxy-Ausführung (über process_creation)
Diese Erkennungsregel ist mit 24 marktführenden Sicherheits- und Analyseplattformen kompatibel und im Einklang mit dem MITRE ATT&CK® Framework v.10 und adressiert die Taktik der Verteidigungsevasion, die durch die Technik der signierten Proxy-Ausführung (T1218) repräsentiert wird.
Erfahrene Bedrohungsjäger wären ein wertvolles Asset für unser Entwicklerprogramm, wo sie ihre Bedrohungsjagdgeschwindigkeit erhöhen und zusammen mit über 23.000 anderen SOC-Fachleuten an der kollaborativen Cyberabwehr teilnehmen können.
Erhalten Sie die vollständige Liste der Sigma-, Snort- und YARA-Regeln, die mit ShadowPad-Malware-Angriffen assoziiert sind, indem Sie auf den Erkennung & Jagd Button klicken. Bedrohungsjäger, Erkennungsingenieure und andere InfoSec-Praktizierende, die bestrebt sind, die Cybersicherheit ihrer Organisation zu verbessern, können eine umfangreiche Bibliothek von Erkennungsinhalten durchstöbern, die mit relevantem Bedrohungskontext angereichert sind, indem sie den Bedrohungskontext erkunden.
Erkennung & Jagd Bedrohungskontext erkunden
Beschreibung der ShadowPad-Malware
ShadowPad ist ein anspruchsvoller, regelmäßig aktualisierter modularer Backdoor im Shellcode-Format mit einer Vielzahl von Fähigkeiten, der bei Bedrohungsakteuren aufgrund seiner Kosteneffizienz beliebt ist. Jeder Plugin des Backdoors enthält spezifische Funktionen und wird von China-unterstützten APTs weit verwendet, um eine langfristige Präsenz in kompromittierten Umgebungen in ihren Spionagekampagnen aufzubauen, indem sie die Malware an ihre aktuellen Bedürfnisse anpassen. Die laufende Analyse von ShadowPad-Proben zeigte, dass die Malware ein Remote-Access-Trojaner (RAT) ist, der es Angreifern ermöglicht, beliebige Befehle auszuführen und Nutzlasten der nächsten Stufe herunterzuladen und zu starten.
ShadowPad entstand 2015 und zog Hacker mit seiner umfangreichen Funktionalität an, einschließlich der Fähigkeit, zusätzliche Nutzlasten abzulegen und auszuführen, mit einem Kommando-und-Kontroll-Server zu kommunizieren, Register zu ändern und die Anzahl der genutzten Plugins zu ändern. ShadowPad wurde im Laufe seiner Existenz in Angriffen mehrerer China-verbundener Spionagegruppen bemerkt, zuletzt in der Kampagne von BRONZE UNIVERSITY, die sich mit der bösartigen Aktivität der Gruppe BRONZE STARLIGHT innerhalb desselben kompromittierten Netzwerks überschnitt.
Um auf dem Laufenden über aufkommende Bedrohungen zu bleiben und Ihre Suche nach Anzeichen von Kompromittierungen zu verbessern, treten Sie der Detection as Code Plattform bei und ziehen Sie sofortigen Nutzen aus der nahezu in Echtzeit bereitgestellten Erkennungsinhaltslieferung, die von automatisiertem Bedrohungsjagen und Inhaltsmanagementfähigkeiten begleitet wird.
