Rilevamento del Malware ShadowPad: Backdoor Popolare tra i Cluster Cinesi di Attività di Spionaggio
Indice:
ShadowPad è una backdoor modulare altamente popolare tra gli attori delle minacce ubicati in Cina, inclusi gruppi di attività di spionaggio come BRONZE UNIVERSITY, BRONZE RIVERSIDE, BRONZE STARLIGHT e BRONZE ATLAS.
Il malware viene utilizzato per scaricare ulteriori payload dannosi, aprendo la strada a un potenziale di sfruttamento più ampio. Secondo i dati della ricerca, il malware trae origine dal malware PlugX. malware.
Rileva il Malware ShadowPad
Per difendere proattivamente le organizzazioni contro i nuovi campioni di malware ShadowPad, SOC Prime ha rilasciato una regola Sigma unica e arricchita dal contesto:
Possibile Esecuzione di Proxy Jetbrains Launcher (tramite process_creation)
Questa regola di rilevazione è compatibile con 24 piattaforme leader di sicurezza e analisi di mercato ed è allineata con il MITRE ATT&CK® framework v.10, affrontando la tattica di Evasione di Difesa rappresentata dalla tecnica di Esecuzione Proxy Binario Firmato (T1218).
Cacciatori di minacce esperti sarebbero una risorsa preziosa per il nostro Programma per Sviluppatori, dove possono aumentare la loro velocità di caccia alle minacce e contribuire alla difesa informatica collaborativa insieme a più di 23.000 professionisti SOC.
Ottieni l’elenco completo delle regole Sigma, Snort e YARA associate agli attacchi malware ShadowPad facendo clic sul pulsante Rileva & Caccia . Cacciatori di minacce, ingegneri di rilevamento e altri professionisti della sicurezza informatica che si sforzano di migliorare la postura di sicurezza dell’organizzazione possono sfogliare un’ampia libreria di elementi di contenuto di rilevazione migliorati con il contesto di minaccia rilevante premendo Esplora Contesto della Minaccia.
Rileva & Caccia Esplora Contesto della Minaccia
Descrizione del Malware ShadowPad
ShadowPad è una sofisticata backdoor modulare, regolarmente aggiornata, in formato shellcode con una serie diversificata di funzionalità, popolare tra gli attori delle minacce per la sua convenienza economica. Ogni plugin della backdoor contiene funzionalità specifiche ed è ampiamente utilizzato dagli APT supportati dalla Cina per stabilire una presenza a lungo termine negli ambienti compromessi nelle loro campagne di spionaggio, adattando il malware alle loro esigenze attuali. L’analisi in corso dei campioni di ShadowPad ha mostrato che il malware è un trojan di accesso remoto (RAT) che consente agli attaccanti di eseguire comandi arbitrari e scaricare e avviare payload di fase successiva.
ShadowPad è emerso nel 2015, attirando hacker con la sua ricca funzionalità, tra cui la capacità di scaricare e eseguire payload aggiuntivi, comunicare con un server di comando e controllo, modificare i registri e alterare il numero di plugin utilizzati. ShadowPad, nel corso della sua esistenza, è stato notato in attacchi di diversi gruppi di spionaggio legati alla Cina, più recentemente nella campagna di BRONZE UNIVERSITYche si è sovrapposta con l’attività maliziosa del gruppo BRONZE STARLIGHT all’interno della stessa rete compromessa.
Per rimanere aggiornato sulle minacce emergenti e migliorare la tua caccia ai segni di compromessi, unisciti alla piattaforma Detection as Code e genera valore immediato dalla fornitura di contenuti di rilevazione quasi in tempo reale accompagnata da capacità automatizzate di caccia alle minacce e gestione dei contenuti.
