Detección de Malware ShadowPad: Puerta Trasera Popular Entre Grupos Chinos de Actividad de Espionaje
Tabla de contenidos:
ShadowPad es un backdoor modular altamente popular entre los actores de amenaza localizados en China, incluyendo tales grupos de actividad de espionaje como BRONZE UNIVERSITY, BRONZE RIVERSIDE, BRONZE STARLIGHT y BRONZE ATLAS.
El malware se utiliza para descargar cargas maliciosas adicionales, abriendo el camino a un potencial de explotación más amplio. Según los datos de investigación, el malware tiene sus raíces en el malware PlugX. malware.
Detectar Malware ShadowPad
Para defender proactivamente a las organizaciones contra nuevas muestras de malware ShadowPad, SOC Prime ha lanzado una regla Sigma única y enriquecida con contexto:
Possible Jetbrains Launcher Proxy Execution (via process_creation)
Esta regla de detección es compatible con 24 plataformas líderes de seguridad y análisis del mercado y está alineada con el marco MITRE ATT&CK® v.10, abordando la táctica de Defensa Evasiva representada por la técnica de Ejecución de Proxy de Binario Firmado (T1218).
Los cazadores de amenazas experimentados serían un valioso activo para nuestro Programa de Desarrolladores, donde pueden aumentar su velocidad de caza de amenazas y contribuir a la defensa cibernética colaborativa junto con otros más de 23,000 profesionales SOC.
Obtén la lista completa de reglas Sigma, Snort y YARA asociadas con ataques de malware ShadowPad haciendo clic en el botón Detectar y Cazar . Cazadores de amenazas, ingenieros de detección y otros practicantes de InfoSec que se esfuerzan por mejorar la postura de ciberseguridad de la organización pueden explorar una vasta biblioteca de elementos de contenido de detección mejorados con contexto de amenazas relevante pulsando el Explorar Contexto de Amenazas.
Detectar y Cazar Explorar Contexto de Amenazas
Descripción del Malware ShadowPad
ShadowPad es un backdoor modular sofisticado, regularmente actualizado en formato shellcode con un diverso conjunto de capacidades, popular entre actores de amenaza por su rentabilidad. Cada plugin del backdoor contiene funcionalidades específicas y es ampliamente utilizado por APTs respaldados por China para establecer una presencia a largo plazo en entornos comprometidos en sus campañas de espionaje, adaptando el malware a sus necesidades actuales. El análisis continuo de muestras de ShadowPad mostró que el malware es un troyano de acceso remoto (RAT) que permite a los atacantes ejecutar comandos arbitrarios y descargar y lanzar cargas de la siguiente etapa.
ShadowPad surgió en 2015, atrayendo a los hackers con su rica funcionalidad, incluyendo la capacidad de introducir y ejecutar cargas adicionales, comunicarse con un servidor de comando y control, modificar registros y alterar el número de plugins utilizados. ShadowPad, a lo largo de su existencia, fue notado en ataques de varios grupos de espionaje vinculados a China, más recientemente en la campaña de BRONZE UNIVERSITYque se superpuso con la actividad maliciosa del grupo BRONZE STARLIGHT dentro de la misma red comprometida.
Para mantenerse al tanto de las amenazas emergentes y mejorar su búsqueda de signos de compromisos, únase a la plataforma Detection as Code y obtenga un valor inmediato de la entrega de contenido de detección en tiempo casi real acompañada de capacidades automatizadas de caza de amenazas y gestión de contenido.
