ShadowPad 맬웨어 탐지: 중국 스파이 활동 집단 사이에서 인기 있는 백도어

ShadowPad는 BRONZE UNIVERSITY, BRONZE RIVERSIDE, BRONZE STARLIGHT, BRONZE ATLAS 같은 스파이 활동 클러스터를 포함하여 중국에 위치한 위협 행위자들 사이에서 매우 인기가 많은 모듈형 백도어입니다.

이 악성코드는 추가적인 악성 페이로드를 다운로드하는 데 사용되어 더 넓은 악용 가능성을 열어줍니다. 연구 데이터에 따르면 이 악성코드는 PlugX 악성코드로 거슬러 올라갑니다.

ShadowPad 악성코드 탐지

새로운 ShadowPad 악성코드 샘플로부터 조직을 사전에 방어하기 위해, SOC Prime은 독창적이며 문맥이 풍부한 Sigma 규칙을 발표했습니다:

가능한 Jetbrains Launcher Proxy 실행 (via process_creation)

이 탐지 규칙은 24개의 시장 주도 보안 및 분석 플랫폼과 호환되며, MITRE ATT&CK® 프레임워크 v.10, 서명된 바이너리 프록시 실행 기법(T1218)으로 대변되는 방어 회피(MITRE ATT&CK 기술)에 맞추어져 있습니다.

경험 많은 위협 사냥꾼들은 우리의 개발자 프로그램에 귀중한 자산이 될 것이며 그곳에서 다른 23,000명 이상의 SOC 전문가들과 함께 위협 사냥 속도를 높이고 공동 사이버 방어에 기여할 수 있습니다.

ShadowPad 악성코드 공격과 관련된 Sigma, Snort 및 YARA 규칙 전체 목록을 확인하려면 탐지 및 사냥 버튼을 클릭하세요. 조직의 사이버 보안 태세를 개선하려는 위협 사냥꾼, 탐지 엔지니어 및 기타 정보 보안 실무자는 관련 위협 문맥으로 향상된 방대한 탐지 콘텐츠 항목 라이브러리를 탐색하여 위협 문맥 탐색.

탐지 및 사냥 위협 문맥 탐색

ShadowPad 악성코드 설명

ShadowPad 는 셸코드 형식의 정교하고 정기적으로 업데이트되는 모듈형 백도어로, 비용 효율성으로 인해 위협 행위자들 사이에서 인기가 많습니다. 백도어의 각 플러그인은 특정 기능을 가지고 있으며, 중국이 지원하는 APT들에 의해 그들의 스파이 활동 캠페인에서 침해된 환경에 장기적인 존재를 확립하기 위해 널리 사용되고 있으며, 현재 필요에 맞춰 악성코드를 조정합니다. ShadowPad 샘플에 대한 지속적인 분석은 이 악성코드는 원격 액세스 트로이 목마(RAT)로, 공격자가 임의의 명령을 실행하고 다음 단계의 페이로드를 다운로드하고 실행할 수 있도록 한다는 것을 보여주었습니다.

ShadowPad는 2015년에 등장했으며, 추가 페이로드를 드롭하고 실행할 수 있는 능력, 명령 및 제어 서버와 통신할 수 있는 능력, 레지스트리를 수정하거나 사용된 플러그인의 수를 변경할 수 있는 능력 등 풍부한 기능으로 해커들을 매료시켰습니다. ShadowPad는 그 존재 기간 동안 여러 중국과 연관된 스파이 클러스터의 공격에서 발견되었으며, 최근에는 BRONZE UNIVERSITY의 캠페인에서 발견되었습니다. 이 캠페인은 동일한 손상된 네트워크 내에서 BRONZE STARLIGHT 그룹의 악성 활동과 겹쳤습니다.

새롭게 등장하는 위협에 발맞추어 위협을 선별하고 침해의 징후를 사냥하는 것을 강화하기 위해 Detection as Code 플랫폼 에 참여하세요. 자동화된 위협 사냥 및 콘텐츠 관리 기능과 함께 거의 실시간으로 탐지 콘텐츠를 제공함으로써 즉각적인 가치를 창출하십시오.