Détection du Malware ShadowPad : Porte dérobée populaire parmi les groupes d’activité d’espionnage chinois

ShadowPad est une porte dérobée modulaire très populaire parmi les acteurs de la menace situés en Chine, y compris des groupes d’espionnage tels que BRONZE UNIVERSITY, BRONZE RIVERSIDE, BRONZE STARLIGHT et BRONZE ATLAS.

Le malware est utilisé pour télécharger d’autres charges utiles malveillantes, ouvrant ainsi la voie à un potentiel d’exploitation plus large. Selon les données de recherche, le malware trouve ses origines dans le malware PlugX. malware.

Détecter le malware ShadowPad

Pour défendre de manière proactive les organisations contre de nouveaux échantillons de malware ShadowPad, SOC Prime a publié une règle Sigma unique, enrichie de contexte :

Exécution possible du Jetbrains Launcher Proxy (via process_creation)

Cette règle de détection est compatible avec 24 plateformes de sécurité et d’analytique leaders sur le marché et s’aligne sur le cadre MITRE ATT&CK® v.10, traitant de la tactique Evasion Défensive représentée par la technique d’Exécution de Proxy Binaire Signé (T1218).

Des chasseurs de menaces expérimentés seraient un atout précieux dans notre Programme de Développeurs, où ils peuvent augmenter leur vitesse de chasse aux menaces et contribuer à une cyberdéfense collaborative avec plus de 23 000 professionnels SOC.

Obtenez la liste complète des règles Sigma, Snort et YARA associées aux attaques par malware ShadowPad en cliquant sur le bouton Détecter & Chasser. Les chasseurs de menaces, ingénieurs de détection et autres praticiens de la sécurité de l’information cherchant à améliorer la posture de cybersécurité de l’organisation peuvent parcourir une vaste bibliothèque d’éléments de contenu de détection enrichie de contexte de menace pertinent en cliquant sur Explorer le Contexte de la Menace.

Détecter & Chasser. Explorer le Contexte de la Menace

Description du malware ShadowPad

ShadowPad est une porte dérobée modulaire sophistiquée, régulièrement mise à jour, au format shellcode avec une vaste gamme de capacités, populaire parmi les acteurs de la menace pour son efficacité coût-efficace. Chaque plugin de la porte dérobée contient une fonctionnalité spécifique et est largement utilisé par les APT soutenus par la Chine pour établir une présence à long terme dans des environnements compromis lors de leurs campagnes d’espionnage, adaptant le malware à leurs besoins actuels. L’analyse continue des échantillons de ShadowPad a montré que le malware est un trojan d’accès à distance (RAT) qui permet aux attaquants d’exécuter des commandes arbitraires et de télécharger et lancer des charges utiles de passage à l’étape suivante.

ShadowPad est apparu en 2015, attirant les hackers avec sa riche fonctionnalité, y compris la capacité de déposer et d’exécuter des charges utiles supplémentaires, de communiquer avec un serveur de commande et de contrôle, de modifier les registres, et de modifier le nombre de plugins utilisés. ShadowPad, tout au long de son existence, a été remarqué dans des attaques de plusieurs groupes d’espionnage liés à la Chine, plus récemment dans la campagne de BRONZE UNIVERSITYqui a chevauché l’activité malveillante du groupe BRONZE STARLIGHT au sein du même réseau compromis.

Pour rester au courant des menaces émergentes et améliorer votre recherche de signes de compromission, rejoignez la plateforme Detection as Code et tirez une valeur immédiate de la livraison de contenu de détection en quasi-temps réel accompagnée de capacités automatisées de chasse aux menaces et de gestion de contenu.