Ssylka

Как обновленный Shadowpad стал угрозой для промышленных компаний?

В ноябре 2024 года в Европе были зафиксированы два случая кибератак с использованием обновленной версии вредоносного ПО Shadowpad. За последние 7 месяцев жертвами этого вредоносного ПО стали 21 компания из 15 стран Европы, Ближнего Востока, Азии и Южной Америки.
Как обновленный Shadowpad стал угрозой для промышленных компаний?
Изображение носит иллюстративный характер

Shadowpad, впервые обнаруженный в 2017 году при атаке на программное обеспечение NetSarang, изначально использовался китайской хакерской группой APT41. К 2019 году этот инструмент распространился среди нескольких китайских группировок, включая Earth Baku, Earth Longzhi, Earth Freybug и Earth Lusca.

Новая версия Shadowpad получила усовершенствованные механизмы защиты от отладки, включая проверку на наличие отладчика и измерение временных интервалов выполнения. Вредоносная программа шифрует свою полезную нагрузку в реестре, используя серийный номер тома жертвы, и применяет DNS поверх HTTPS для усложнения сетевого мониторинга.

Злоумышленники получали доступ к сетям компаний через VPN, используя административные учетные записи с слабыми паролями. В одном случае они обошли двухфакторную аутентификацию на основе сертификатов. После проникновения устанавливался Shadowpad, иногда непосредственно на контроллер домена.

Большинство атак (11 из 21) было направлено на производственный сектор. Остальные затронули транспорт, издательское дело, энергетику, фармацевтику, банковское дело, горнодобывающую промышленность, образование и развлечения.

В двух случаях злоумышленники дополнительно развернули ранее неизвестное программное обеспечение для шифрования данных. Это нетипично для операторов Shadowpad. Зашифрованные файлы получали расширение ".locked", а записки с требованием выкупа содержали ссылки на инструмент "Kodex Evil Extractor".

Для постэксплуатации использовались инструменты CQHashDumpv2 и Impacket, а также производился дамп баз данных Active Directory. Основным командным центром служил домен updata.dsqurey[.]com. Предполагается связь с группировкой Teleboyi из-за пересечений в инфраструктуре и коде PlugX, хотя эти свидетельства недостаточно убедительны.


Новое на сайте

15287Жидкость, восстанавливающая форму: нарушение законов термодинамики 15286Аркадия ведьм: загадка Чарльза годфри Леланда и её влияние на современную магию 15285Кто станет новым героем Звёздных войн в 2027 году? 15283Ануше Ансари | Почему космические исследования важны для Земли 15282Гизем Гумбуская | Синтетический морфогенез: самоконструирующиеся живые архитектуры по... 15281Как предпринимателю остаться хозяином своей судьбы? 15280Люси: путешествие к древним обломкам солнечной системы 15279Роберт Лиллис: извлеченные уроки для экономически эффективных исследований дальнего... 15278Почему супермен до сих пор остаётся символом надежды и морали? 15277Райан Гослинг в роли нового героя «Звёздных войн»: что известно о фильме Star Wars:... 15276Почему экваториальная Гвинея остаётся одной из самых закрытых и жестоких диктатур мира? 15275Почему морские слизни становятся ярче под солнцем? 15274Глен Вейль | Можем ли мы использовать ИИ для построения более справедливого общества? 15273Лириды: где и как увидеть древний звездопад в этом апреле? 15272Сдержит ли налог на однодневных туристов в Венеции наплыв гостей?