Исследование APT-бэкдора ShadowPad и его связи с PlugX
27 октября 2020 года
Введение
В июле 2020 года мы выпустили исследование APT-атак на государственные учреждения Казахстана и Киргизии с подробным разбором вредоносных программ, найденных в скомпрометированных сетях. В процессе расследования вирусные аналитики «Доктор Веб» проанализировали и описали несколько групп троянских программ, включая представителей как уже встречавшихся специалистам семейств, так и ранее неизвестные трояны, из которых самым главным открытием оказались образцы семейства XPath. Нам также удалось обнаружить ряд признаков, позволивших связать два изначально независимых инцидента. В обоих случаях злоумышленники использовали похожие наборы вредоносного ПО, в том числе одни и те же узкоспециализированные бэкдоры, которыми были инфицированы контроллеры домена в атакованных организациях.
В ходе экспертизы аналитики изучили образцы мультимодульных бэкдоров PlugX, которые применялись для первичного проникновения в сетевую инфраструктуру. Анализ показал, что некоторые модификации PlugX использовали те же доменные имена управляющих серверов, что и другие изученные нами бэкдоры, связанные с целевыми атаками на учреждения государств Центральной Азии. При этом обнаружение программ семейства PlugX свидетельствует о возможной причастности к рассматриваемым инцидентам китайских APT-групп.
По нашим данным, несанкционированное присутствие в обеих сетях продолжалось более трех лет, а за атаками могли стоять сразу несколько хакерских группировок. Расследования столь комплексных киберинцидентов предполагают продолжительную работу, поэтому их редко удается осветить одной публикацией.
В вирусную лабораторию «Доктор Веб» поступили новые образцы ВПО, обнаруженные на одном из зараженных компьютеров локальной сети госучреждения Киргизии.
В дополнение к описанным в предыдущем материале вредоносным программам особого внимания заслуживает бэкдор ShadowPad. Различные модификации этого семейства являются известным инструментом Winnti — APT-группы предположительно китайского происхождения, активной как минимум с 2012 года. Примечательно, что на компьютере вместе с ShadowPad был также установлен бэкдор Farfli, при этом обе программы обращались к одному управляющему серверу. Кроме того, на этом же компьютере мы обнаружили несколько модификаций PlugX.
В этом исследовании мы разобрали алгоритмы работы обнаруженных бэкдоров. Особое внимание уделено сходствам в коде образцов ShadowPad и PlugX, а также некоторым пересечениям в их сетевой инфраструктуре.
Список обнаруженного ВПО
На зараженном компьютере были найдены следующие бэкдоры:
| SHA256-хеши | Детектирование | Управляющий сервер | Дата установки |
|---|---|---|---|
| ac6938e03f2a076152ee4ce23a39a0bfcd676e4f0b031574d442b6e2df532646 | BackDoor.ShadowPad.1 | www[.]pneword[.]net | 07.09.2018 13:14:57.664 |
| 9135cdfd09a08435d344cf4470335e6d5577e250c2f00017aa3ab7a9be3756b3 2c4bab3df593ba1d36894e3d911de51d76972b6504d94be22d659cff1325822e |
BackDoor.Farfli.122 BackDoor.Farfli.125 |
www[.]pneword[.]net | 03.11.2017 09:06:07.646 |
| 3ff98ed63e3612e56be10e0c22b26fc1069f85852ea1c0b306e4c6a8447c546a (DLL-загрузчик) b8a13c2a4e09e04487309ef10e4a8825d08e2cd4112846b3ebda17e013c97339 (основной модуль) |
BackDoor.PlugX.47 BackDoor.PlugX.48 |
www[.]mongolv[.]com | 29.12.2016 14:57:00.526 |
| 32e95d80f96dae768a82305be974202f1ac8fcbcb985e3543f29797396454bd1 (DLL-загрузчик) b8a13c2a4e09e04487309ef10e4a8825d08e2cd4112846b3ebda17e013c97339 (основной модуль) |
BackDoor.PlugX.47 BackDoor.PlugX.48 |
www[.]arestc[.]net | 23.03.2018 13:06:01.444 |
| b8a13c2a4e09e04487309ef10e4a8825d08e2cd4112846b3ebda17e013c97339 (основной модуль) | BackDoor.PlugX.48 | www[.]icefirebest[.]com | 03.12.2018 14:12:24.111 |
Для дальнейшего исследования мы нашли и проанализировали другие образцы семейства ShadowPad, чтобы более детально рассмотреть сходство бэкдоров семейств ShadowPad и PlugX:
- BackDoor.ShadowPad.3,
- BackDoor.ShadowPad.4 — модификация ShadowPad, находившаяся в составе самораспаковывающегося WinRAR-дроппера и загружавшая нетипичный для этого семейства модуль в виде DLL-библиотеки.
Подробное исследование образцов ShadowPad и их сравнение с ранее изученными нами модификациями PlugX указывает на высокую схожесть принципов действия и модульных структур бэкдоров обоих семейств. Эти вредоносные программы сближает не только общая концепция, но и нюансы кода: некоторые приемы разработки, идеи и технические решения практически копируют друг друга. Немаловажным фактом является и то, что оба бэкдора находились в скомпрометированной сети государственного учреждения Киргизии.
Подробные технические описания обнаруженных вредоносных программ находятся в PDF-версии исследования и в вирусной библиотеке Dr.Web.
- BackDoor.ShadowPad.1
- BackDoor.ShadowPad.3
- BackDoor.ShadowPad.4
- BackDoor.Farfli.122
- BackDoor.Farfli.125
- BackDoor.Siggen2.3243
Заключение
Имеющиеся данные позволяют нам сделать вывод о связи этих семейств, при этом возможны как простое заимствование кода, так и разработка обеих программ одним автором или группой авторов. Во втором случае весьма вероятной видится эволюция PlugX в более новый и совершенный ShadowPad, так как формат хранения вредоносных модулей, применяемый в последнем, многократно затрудняет возможность их обнаружения в оперативной памяти.
Оцените
Сделайте репост
![[VK]](http://st.dataprotection.com.ua/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.dataprotection.com.ua/static/new-www/social/no_radius/twitter.png)
Поставьте «Нравится»
![[facebook]](http://st.dataprotection.com.ua/static/new-www/social/no_radius/facebook.png)
Чтобы проголосовать надо войти на страницу новости через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети для наград за активности в них. Видео о связывании аккаунта
Нам важно Ваше мнение
Комментарии размещаются после проверки модератором. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @
Другие комментарии