https://www.csoonline.com/article/3649777/shadowpad-has-become-the-rat-of-choice-for-several-state-sponsored-chinese-apts.html#tk.rss_all
ShadowPadマルウェアは、2017年に、中国の国家が後援するハッカーグループの疑いによる2つのソフトウェアサプライチェーン攻撃で使用されたときに脚光を浴びました。
「ShadowPadを活用するグループの範囲を考えると、中国の脅威グループの標的となる可能性が高いすべての組織は、このマルウェアに関連するTTPを監視する必要があります。」
Secureworksの研究者は、感染したシステムのShadowPadプロセスを使用して、複数のcmd.exe子プロセスを生成する攻撃を観察しました。
一部の攻撃では、攻撃者によって仕掛けられた不正なDLLに、暗号化された悪意のあるShadowPadペイロードが含まれ、その後、復号化されてメモリ内で実行されました。
ShadowPadを使用するさまざまなAPT
このキャンペーンで使用されているコマンドアンドコントロールインフラストラクチャと、Secureworksがブロンズジュネーブとして追跡しているがAPT30としても知られている中国のAPTグループに起因するNebulaeマルウェアファミリーによって使用されているインフラストラクチャには重複があります。
ShadowPadは、いくつかの州が後援する中国のAPT、LucianConstantinに選ばれるRATになりました。
security summary
コメント