https://thehackernews.com/2022/02/researchers-link-shadowpad-malware.html
「ShadowPadは、ホストに関する情報を抽出し、コマンドを実行し、ファイルシステムおよびレジストリと対話し、機能を拡張するために新しいモジュールを展開します。」
ShadowPadは、侵入先のコンピューターへの永続的なアクセスを維持し、任意のコマンドと次のステージのペイロードを実行できるリモートアクセス型トロイの木馬です。
ホストは、マルウェアバージョンに合わせたカスタム復号化アルゴリズムを使用して、メモリ内の埋め込まれたShadowPadペイロードを復号化して実行します。
これらのDLLローダーは、DLL検索順序ハイジャックに対して脆弱な正当な実行可能ファイルによってサイドロードされた後にマルウェアを実行します。
これは、プログラムにロードする必要のあるDLLを探すために使用されるメソッドをハイジャックすることによってマルウェアの実行を可能にする手法です。
このファイルは、正当なバイナリ(BDReinit.exeやOleview.exeなど)を実行してDLLをサイドロードし、3番目のファイルをロードして復号化します。
研究者はShadowPadマルウェア攻撃を中国の省とPLAにリンクします、noreply @ blogger.com(Ravie Lakshmanan)
security summary
コメント