В ноябре 2024 года в Европе были зафиксированы два случая кибератак с использованием обновленной версии вредоносного ПО Shadowpad. За последние 7 месяцев жертвами этого вредоносного ПО стали 21 компания из 15 стран Европы, Ближнего Востока, Азии и Южной Америки.
Shadowpad, впервые обнаруженный в 2017 году при атаке на программное обеспечение NetSarang, изначально использовался китайской хакерской группой APT41. К 2019 году этот инструмент распространился среди нескольких китайских группировок, включая Earth Baku, Earth Longzhi, Earth Freybug и Earth Lusca.
Новая версия Shadowpad получила усовершенствованные механизмы защиты от отладки, включая проверку на наличие отладчика и измерение временных интервалов выполнения. Вредоносная программа шифрует свою полезную нагрузку в реестре, используя серийный номер тома жертвы, и применяет DNS поверх HTTPS для усложнения сетевого мониторинга.
Злоумышленники получали доступ к сетям компаний через VPN, используя административные учетные записи с слабыми паролями. В одном случае они обошли двухфакторную аутентификацию на основе сертификатов. После проникновения устанавливался Shadowpad, иногда непосредственно на контроллер домена.
Большинство атак (11 из 21) было направлено на производственный сектор. Остальные затронули транспорт, издательское дело, энергетику, фармацевтику, банковское дело, горнодобывающую промышленность, образование и развлечения.
В двух случаях злоумышленники дополнительно развернули ранее неизвестное программное обеспечение для шифрования данных. Это нетипично для операторов Shadowpad. Зашифрованные файлы получали расширение ".locked", а записки с требованием выкупа содержали ссылки на инструмент "Kodex Evil Extractor".
Для постэксплуатации использовались инструменты CQHashDumpv2 и Impacket, а также производился дамп баз данных Active Directory. Основным командным центром служил домен updata.dsqurey[.]com. Предполагается связь с группировкой Teleboyi из-за пересечений в инфраструктуре и коде PlugX, хотя эти свидетельства недостаточно убедительны.
Изображение носит иллюстративный характер
Shadowpad, впервые обнаруженный в 2017 году при атаке на программное обеспечение NetSarang, изначально использовался китайской хакерской группой APT41. К 2019 году этот инструмент распространился среди нескольких китайских группировок, включая Earth Baku, Earth Longzhi, Earth Freybug и Earth Lusca.
Новая версия Shadowpad получила усовершенствованные механизмы защиты от отладки, включая проверку на наличие отладчика и измерение временных интервалов выполнения. Вредоносная программа шифрует свою полезную нагрузку в реестре, используя серийный номер тома жертвы, и применяет DNS поверх HTTPS для усложнения сетевого мониторинга.
Злоумышленники получали доступ к сетям компаний через VPN, используя административные учетные записи с слабыми паролями. В одном случае они обошли двухфакторную аутентификацию на основе сертификатов. После проникновения устанавливался Shadowpad, иногда непосредственно на контроллер домена.
Большинство атак (11 из 21) было направлено на производственный сектор. Остальные затронули транспорт, издательское дело, энергетику, фармацевтику, банковское дело, горнодобывающую промышленность, образование и развлечения.
В двух случаях злоумышленники дополнительно развернули ранее неизвестное программное обеспечение для шифрования данных. Это нетипично для операторов Shadowpad. Зашифрованные файлы получали расширение ".locked", а записки с требованием выкупа содержали ссылки на инструмент "Kodex Evil Extractor".
Для постэксплуатации использовались инструменты CQHashDumpv2 и Impacket, а также производился дамп баз данных Active Directory. Основным командным центром служил домен updata.dsqurey[.]com. Предполагается связь с группировкой Teleboyi из-за пересечений в инфраструктуре и коде PlugX, хотя эти свидетельства недостаточно убедительны.
