تم استخدام ShadowPad ، وهو باب خلفي سيئ السمعة على نظام Windows يسمح للمهاجمين بتنزيل المزيد من الوحدات الخبيثة أو سرقة البيانات ، من قبل خمس مجموعات تهديد صينية مختلفة منذ عام 2017.
"إن اعتماد ShadowPad يقلل بشكل ملحوظ من تكاليف التطوير والصيانة للجهات الفاعلة التهديد" SentinelOne الباحثين يي Jhen هسيه وجوي تشن قال في لمحة مفصلة عن البرامج الضارة، مضيفا "توقفت بعض الجماعات تهديدا تطوير خلفي الخاصة بهم بعد أن تمكنت من الوصول إلى ShadowPad ".
وصفت شركة الأمن السيبراني الأمريكية ShadowPad بأنها "تحفة من البرمجيات الخبيثة المباعة بشكل خاص في التجسس الصيني".
A خلفا لPlugX ومنصة البرمجيات الخبيثة وحدات منذ عام 2015، ShadowPad قفزت اهتماما واسع النطاق لفي أعقاب حوادث سلسلة التوريد تستهدف NetSarang ، كلنر ، و ASUS ، الشركة الرائدة في شركات لتحويل التكتيكات وتحديث تدابيرها الدفاعية مع متقدمة مضادة للكشف والمثابرة التقنيات.
في الآونة الأخيرة ، استهدفت الهجمات التي شملت ShadowPad منظمات في هونغ كونغ بالإضافة إلى البنية التحتية الحيوية في الهند وباكستان ودول آسيا الوسطى الأخرى. على الرغم من أن الزرع يُنسب في المقام الأول إلى APT41 ، إلا أنه من المعروف أن الزرع مشترك بين العديد من ممثلي التجسس الصينيين مثل Tick و RedEcho و RedFoxtrot والمجموعات التي يطلق عليها عملية Redbonus و Redkanku و Fishmonger.
"[ممثل التهديد وراء Fishmonger] يستخدمه الآن وبابًا خلفيًا آخر يسمى Spyder كأبواب خلفية أولية للمراقبة طويلة المدى ، بينما يوزعون أبواب خلفية أخرى في المرحلة الأولى للعدوى الأولية بما في ذلك FunnySwitch و BIOPASS RAT و Cobalt Strike ، قال الباحثون. "يشمل الضحايا الجامعات والحكومات وشركات القطاع الإعلامي وشركات التكنولوجيا والمنظمات الصحية التي تجري أبحاث COVID-19 في هونغ كونغ وتايوان والهند والولايات المتحدة"
تعمل البرامج الضارة عن طريق فك تشفير وتحميل المكون الإضافي الجذر في الذاكرة ، والذي يعتني بتحميل الوحدات المدمجة الأخرى أثناء وقت التشغيل ، بالإضافة إلى النشر الديناميكي للمكونات الإضافية من خادم التحكم والتحكم عن بُعد (C2) ، مما يتيح للأعداء دمج وظائف إضافية غير مدمج في البرامج الضارة بشكل افتراضي. تم تحديد ما لا يقل عن 22 مكونًا إضافيًا فريدًا حتى الآن.
يتم التحكم في الأجهزة المصابة ، من جانبها ، بواسطة وحدة تحكم قائمة على Delphi والتي تستخدم للاتصالات الخلفية ، وتحديث البنية التحتية C2 ، وإدارة المكونات الإضافية.
ومن المثير للاهتمام ، أن مجموعة الميزات المتاحة لمستخدمي ShadowPad لا يتم التحكم فيها بإحكام من قبل البائع فحسب ، بل يتم بيع كل مكون إضافي بشكل منفصل بدلاً من تقديم حزمة كاملة تحتوي على جميع الوحدات ، مع تضمين معظم العينات - من حوالي 100 - بأقل من تسعة الإضافات.
وقال الباحثون: "إن ظهور ShadowPad ، وهو باب خلفي تم بيعه بشكل خاص ومتطور جيدًا وعملي ، يوفر للجهات الفاعلة في التهديد فرصة جيدة للابتعاد عن الأبواب الخلفية التي طورتها بنفسها". "على الرغم من أنه مصمم جيدًا ومن المحتمل جدًا أن يتم إنتاجه بواسطة مطور برامج ضارة متمرس ، إلا أن وظائفه وقدراته المضادة للطب الشرعي قيد التطوير النشط."
المصادر:
- The Hacker News