85 adede kadar komut ve kontrol (C2) sunucusu keşfetti ShadowPad kötü amaçlı yazılımı tarafından Eylül 2021’den bu yana destekleniyor ve altyapı 16 Ekim 2022 gibi yakın bir zamanda tespit edildi.
Bu, VMware’in Tehdit Analizi Birimi’ne (TAU) göre okudu C2 iletişimi için TCP, UDP ve HTTP(S) protokollerini kullanan üç ShadowPad çeşidi.
PlugX’in halefi olarak görülen ShadowPad, 2015’ten beri Çin devlet destekli çok sayıda aktör arasında özel olarak paylaşılan modüler bir kötü amaçlı yazılım platformudur.
Tayvanlı siber güvenlik firması TeamT5, bu Mayıs ayının başlarında, başka bir Çin-nexus modüler implantının ayrıntılarını açıkladı. Pangolin8RATPlugX ve ShadowPad kötü amaçlı yazılım ailelerinin halefi olduğuna inanılan ve onu Tianwu adlı bir tehdit grubuna bağlayan .
Daha önce Winnti, Tonto Team ve kod adlı Space Pirates adlı yeni ortaya çıkan bir tehdit kümesi tarafından kullanıma sunulan üç ShadowPad eserinin analizi, C2 sunucularının keşfedilmesini sağlayan bir araç tarafından oluşturulan açık ana bilgisayarların listesini taramayı mümkün kıldı. ZMapdedi VMware.
Şirket ayrıca Spyder’ı tanımladığını açıkladı ve TersPencere ShadowPad C2 IP adresleriyle iletişim kuran kötü amaçlı yazılım örnekleri kötü amaçlı araçlar APT41 (aka Winnti) ve LuoYu tarafından kullanılmaya başlandı.
Ek olarak, yukarıda bahsedilen Spyder örneği ile tehdit aktörünün bir Çalışan bileşeni arasında örtüşmeler gözlemlenmiştir. Winnti 4.0 truva atı.
VMware TAU’da kıdemli tehdit araştırmacısı Takahiro Haruyama, “İnternet üzerinde APT kötü amaçlı yazılım C2’lerini taramak bazen samanlıkta iğne bulmaya benzer” dedi. “Ancak, C2 taraması bir kez çalıştığında, en proaktif tehdit algılama yaklaşımlarından biri olarak oyunun kurallarını değiştirebilir.”
