Detecção de Malware ShadowPad: Backdoor Popular Entre Grupos Chineses de Atividade de Espionagem
Índice:
ShadowPad é uma backdoor modular altamente popular entre os atores de ameaça localizados na China, incluindo grupos de atividade de espionagem como BRONZE UNIVERSITY, BRONZE RIVERSIDE, BRONZE STARLIGHT e BRONZE ATLAS.
O malware é usado para baixar cargas maliciosas adicionais, abrindo caminho para um potencial de exploração mais amplo. De acordo com os dados da pesquisa, o malware remonta suas raízes ao malware PlugX. malware.
Detectar Malware ShadowPad
Para defender proativamente as organizações contra novas amostras de malware ShadowPad, a SOC Prime lançou uma regra Sigma única e enriquecida com contexto:
Possível Execução de Proxy do Jetbrains Launcher (via process_creation)
Esta regra de detecção é compatível com 24 plataformas líderes de mercado em segurança e análise e está alinhada com o framework MITRE ATT&CK® v.10, abordando a tática de Evasão de Defesa representada pela técnica de Execução de Proxy Assinado Binário (T1218).
Caçadores de ameaças experientes seriam um ativo valioso para o nosso Programa de Desenvolvedores, onde podem aumentar sua velocidade de caça de ameaças e contribuir para a defesa cibernética colaborativa junto com outros 23.000+ profissionais de SOC.
Obtenha a lista completa de regras Sigma, Snort e YARA associadas a ataques de malware ShadowPad clicando no botão Detectar & Caçar . Caçadores de ameaças, engenheiros de detecção e outros profissionais de segurança da informação que buscam melhorar a postura de cibersegurança da organização podem explorar uma vasta biblioteca de itens de conteúdo de detecção aprimorados com contexto de ameaça relevante pressionando o botão Explorar Contexto de Ameaças.
Detectar & Caçar Explorar Contexto de Ameaças
Descrição do Malware ShadowPad
ShadowPad é uma backdoor modular sofisticada, regularmente atualizada, em formato shellcode com um conjunto diversificado de capacidades, popular entre atores de ameaça por seu custo-benefício. Cada plugin da backdoor contém funcionalidades específicas e é amplamente utilizado por APTs apoiados pela China para estabelecer uma presença de longo prazo em ambientes comprometidos em suas campanhas de espionagem, adaptando o malware às suas necessidades atuais. A análise contínua das amostras de ShadowPad mostrou que o malware é um trojan de acesso remoto (RAT) que permite que invasores executem comandos arbitrários e baixem e lancem cargas de estágio posterior.
ShadowPad surgiu em 2015, atraindo hackers com sua funcionalidade rica, incluindo a capacidade de soltar e executar cargas adicionais, comunicar-se com um servidor de comando e controle, modificar registros e alterar o número de plugins utilizados. Durante sua existência, o ShadowPad foi notado em ataques de vários grupos de espionagem ligados à China, recentemente na campanha do BRONZE UNIVERSITY, que coincidiu com a atividade maliciosa do grupo BRONZE STARLIGHT dentro da mesma rede comprometida.
Para se manter atualizado sobre novas ameaças e aprimorar sua busca por sinais de comprometimento, junte-se à plataforma Detection as Code e obtenha valor imediato a partir da entrega de conteúdo de detecção quase em tempo real acompanhada por recursos automatizados de caça às ameaças e gerenciamento de conteúdo.
