La piattaforma malware modulare ShadowPad è utilizzata dagli hacker cinesi nei loro attacchi

Link copiato negli appunti

Una backdoor molto sofisticata e modulare, ShadowPad è stata scoperta di recente dagli analisti della sicurezza informatica di Pwc e dalla società di sicurezza Secureworks. La stessa viene utilizzata attivamente dagli attori delle minacce cinesi per eseguire attacchi di alto profilo.

Questo sofisticato malware è stato messo in commercio nell'anno 2017 ed ha attirato l'attenzione degli analisti della sicurezza quando il malware è stato utilizzato in due catene di fornitura di software dopo essere stato decrittografato dagli hacker nella memoria utilizzando un algoritmo di decrittazione personalizzato.

L'APT41, il famoso gruppo cyber-criminale noto per i nomi più svariati, ha eseguito diversi tipi di attacchi a diverse organizzazioni. Nella fase iniziale dell'attacco ShadowPad, gli attori della minaccia sono stati rintracciati come Bronze Atlas, alias Barium.

Chi è Bronze Atlas, alias Barium?

Questo gruppo è conosciuto con nomi diversi nel settore della sicurezza, ed è per questo che abbiamo elencato i nomi rilevati:

APT41
Assioma
Bario
Panda malvagio
Winnti

Shadow Pad

Dopo aver condotto un'indagine adeguata, è stato constatato che ShadowPad è un RAT utilizzato dagli attori delle minacce per implementare comandi shell e payload extra. Gli attori delle minacce hanno avviato gli attacchi in cui ShadowPad viene elaborato sui sistemi infetti o compromessi dei loro bersagli.

Quindi, non c'è dubbio che ShadowPad sia distribuito attraverso un metodo noto come DLL sideloading, in cui gli attori delle minacce generalmente forniscono tutti i tipi di codice dannoso come DLL.

Caricatore DLL dannoso

Il caricatore DLL dannoso esporta una funzione apparentemente chiamata "log", questa funzione generalmente aiuta a scrivere una determinata stringa in %TEMP%\log.txt e non solo questo, ma esegue anche l'esportazione nella sua funzione di punto di ingresso.

SHA-256: a8e5a1b15d42c4da97e23f5eb4a0adfd29674844ce906a86fa3554fc7e58d553
Nome file: log.dll
Tipo di file: Win32 DLL
Dimensione del file: 209.408 byte
Data e ora di compilazione: gg/mm/aaaa 00:00:00

Algoritmo di codifica

Sebbene ci siano alcuni algoritmi di codifica, il prediletto è un codice di flusso che generalmente accetta un valore a 32 bit.

Moltiplica il seme corrente per 17;
Sottrae il valore costante a 32 bit 0x443246ba dal seme;
Archivia il risultato come seme per l'iterazione successiva;
Aggrega ogni byte del seme risultante per fornire il byte XOR finale da utilizzare con il byte codificato corrente.

Questo tipo di malware payload viene generalmente distribuito su un host crittografato all'interno del caricatore DLL o incorporato in un file separato insieme a un caricatore DLL.

Questi tipi di attacchi particolarmente dannosi, sono piuttosto popolari e sofisticati. Quindi, proprio per questo, è molto importante rimanere costantemente allertati e protetti.