ShadowPad マルウェア検出: 中国の諜報活動クラスタの間で人気のバックドア

ShadowPadは、BRONZE UNIVERSITY、BRONZE RIVERSIDE、BRONZE STARLIGHT、BRONZE ATLASなどのスパイ活動クラスタを含み、中国に拠点を置く脅威アクターの間で非常に人気のあるモジュラー型バックドアです。

このマルウェアは、さらなる悪意のあるペイロードをダウンロードするために使用され、広範な悪用の可能性を開きます。研究データによると、このマルウェアの起源は PlugX マルウェアです。

ShadowPadマルウェアを検出する

新しいShadowPadマルウェアサンプルに対して組織を積極的に防御するために、SOC Primeはユニークでコンテキストを豊かにしたSigmaルールをリリースしました。

可能なJetbrainsランチャープロキシ実行（プロセス生成経由）

この検出ルールは、24の市場をリードするセキュリティおよび分析プラットフォームと互換性があり、 MITRE ATT&CK®フレームワーク v.10と整合しており、署名済みバイナリプロキシ実行技術（T1218）によって表される防御回避戦術に対応しています。

経験豊富な脅威ハンターは、次のような貴重な資産となるでしょう。 開発者プログラム、ここで彼らは脅威ハンティングの速度を上げ、他の23,000以上のSOCプロフェッショナルと協力してサイバー防御を強化することができます。

ShadowPadマルウェア攻撃に関連するSigma、Snort、およびYARAルールの完全なリストは、 検出＆ハント ボタンをクリックすることで取得できます。脅威ハンター、検出エンジニア、およびその他のInfoSec実務者は組織のサイバーセキュリティ態勢を改善するために、関連する脅威コンテキストを強化した膨大な検出コンテンツライブラリを閲覧できます。 脅威コンテキストを探索する。

検出＆ハント 脅威コンテキストを探索

ShadowPadマルウェアの説明

ShadowPad は、シェルコード形式の洗練された定期的に更新されるモジュラー型バックドアで、多様な機能を備えており、その費用対効果の高さから脅威アクターの間で人気があります。このバックドアの各プラグインは特定の機能を含み、中国支援のAPTによってそのスパイ活動キャンペーンにおいて侵害された環境内での長期的な存在を確立するために広く使用されています。ShadowPadサンプルの継続的な分析は、このマルウェアがリモートアクセス型トロイの木馬（RAT）であり、攻撃者が任意のコマンドを実行し、次のステージのペイロードをダウンロードして起動できることを示しています。

ShadowPadは2015年に登場し、追加のペイロードのドロップと実行、コマンド・アンド・コントロールサーバーとの通信、レジストリの変更、使用プラグイン数の変更能力を含む多彩な機能でハッカーを引きつけました。ShadowPadはその存在を通じて、複数の中国関連のスパイ活動クラスタの攻撃で確認され、最近では BRONZE UNIVERSITYのキャンペーンで、その同じ侵害されたネットワーク内でBRONZE STARLIGHTグループの悪意のある活動と重なりました。

新たな脅威に対応し、コンプロマイズの兆候を探し求めるため、 Detection as Codeプラットフォーム に参加し、自動化された脅威ハンティングとコンテンツ管理機能を伴ったほぼリアルタイムの検出コンテンツ配信から即時価値を得ましょう。