Siber güvenlik araştırmacıları, şirketin iç işleyişini detaylandırdı. ShadowPadson yıllarda giderek artan sayıda Çinli tehdit grubu tarafından benimsenen ve aynı zamanda onu ülkenin sivil ve askeri istihbarat teşkilatlarına bağlayan sofistike ve modüler bir arka kapı.
Secureworks araştırmacıları The Hacker News ile paylaşılan bir raporda, “ShadowPad, özel bir şifre çözme algoritması kullanılarak bellekte şifresi çözülür” dedi. “ShadowPad, ana bilgisayar hakkında bilgi alır, komutları yürütür, dosya sistemi ve kayıt defteri ile etkileşime girer ve işlevselliği genişletmek için yeni modüller dağıtır.”
ShadowPad PlugX kötü amaçlı yazılımıyla göze çarpan örtüşmeleri paylaşan ve NetSarang, CCleaner ve ASUS’a karşı yüksek profilli saldırılarda kullanılmaya başlanan ve operatörlerin taktiklerini değiştirmesine ve savunma önlemlerini güncellemesine neden olan modüler bir kötü amaçlı yazılım platformudur.
ShadowPad’i teslim eden ilk kampanyalar, şu şekilde izlenen bir tehdit kümesine atfedildi: Bronz Atlası aka Barium – Chengdu 404 adlı bir ağ güvenliği şirketi için çalışan Çin vatandaşları – o zamandan beri 2019’dan sonra birden fazla Çinli tehdit grubu tarafından kullanıldı.
Ağustos 2021’deki kötü amaçlı yazılıma ilişkin ayrıntılı bir genel bakışta, siber güvenlik şirketi SentinelOne, ShadowPad’i “Çin casusluğunda özel olarak satılan kötü amaçlı yazılımın şaheseri” olarak nitelendirdi. Aralık 2021’de PwC tarafından yapılan bir sonraki analiz ifşa ShadowPad ikili dosyaları için kötü niyetli 32-bit ve 64-bit yükleri gizlemek için kullanılan ScatterBee adlı ısmarlama bir paketleme mekanizması.
Kötü amaçlı yazılım yükleri geleneksel olarak bir ana bilgisayara ya bir DLL yükleyici içinde şifrelenir ya da bir DLL yükleyici ile birlikte ayrı bir dosyanın içine gömülür, daha sonra kötü amaçlı yazılım sürümüne uyarlanmış özel bir şifre çözme algoritması kullanarak gömülü ShadowPad yükünün şifresini çözer ve yürütür.
Bu DLL yükleyiciler, zararlı yazılımlara karşı savunmasız meşru bir yürütülebilir dosya tarafından yandan yüklendikten sonra kötü amaçlı yazılımı yürütür. DLL arama emri kaçırmabir programa yüklemek için gerekli DLL’leri aramak için kullanılan yöntemi ele geçirerek kötü amaçlı yazılımın yürütülmesine izin veren bir teknik.
Secureworks tarafından gözlemlenen seçili enfeksiyon zincirleri ayrıca, DLL’yi yandan yüklemek için meşru ikili dosyayı (örn. dosya.
Alternatif olarak, tehdit aktörü DLL dosyasını Uzak Masaüstü Yapılandırması (SessionEnv) Hizmeti tarafından yüklenecek şekilde Windows System32 dizinine yerleştirdi ve sonuçta Cobalt Strike’ın güvenliği ihlal edilmiş sistemlere yerleştirilmesine yol açtı.
Bir ShadowPad olayında, izinsiz girişler, insan bilgisayar korsanlarının otomatik komut dosyaları kullanmak yerine komutları kendileri yürütmek için virüslü bir sisteme manuel olarak giriş yaptığı saldırılara atıfta bulunan klavyeden uygulamalı saldırıları başlatmanın yolunu açtı.
Ek olarak, Secureworks, aşağıdakiler de dahil olmak üzere farklı ShadowPad etkinlik kümelerini ilişkilendirdi: bronz Cenevre (bkz: Hellsing), bronz uşak (aka Kene) ve bronz Huntley (aka Tonto Ekibi), Halk Kurtuluş Ordusu Stratejik Destek Gücü ile uyumlu olarak faaliyet gösteren Çin ulus-devlet gruplarına (PLASSF).
“Delil […] ShadowPad tarafından konuşlandırıldığını öne sürüyor MSS-bağlı tehdit grupları ve bölgesel harekat komutanlıkları adına faaliyet gösteren PLA’ya bağlı tehdit grupları” dedi. 2019 civarında.”