Бесплатно Экспресс-аудит сайта:

29.10.2022

Исследователи выявили 85 серверов управления китайского инструмента ShadowPad

С сентября 2021 года было обнаружено 85 серверов управления и контроля (C&C), поддерживаемых операторами вредоносного ПО ShadowPad, а вся инфраструктура выявлена 16 октября 2022 года.

Об этом сообщает подразделение по анализу угроз VMware TAU, которое изучило 3 варианта ShadowPad , использующих протоколы TCP , UDP и HTTP (S) для связи с C&C-сервером. ShadowPad, рассматриваемый как преемник PlugX , представляет собой модульную платформу вредоносного ПО, совместно используемую китайскими правительственными хакерами с 2015 года.


Анализ трех артефактов ShadowPad, которые ранее использовались группировками Winnti (APT41), Tonto Team и новым кластером угроз Space Pirates соответственно, позволил обнаружить C&C-серверы путем сканирования списка открытых хостов, сгенерированного инструментом ZMap.

Также компания заявила, что образцы вредоносного ПО Spyder Loader и ReverseWindow, взаимодействующие с IP-адресами сервера ShadowPad, являются инструментами, которые используют группировки Winnti и LuoYu.

Старший исследователь угроз в VMware TAU Такахиро Харуяма сказал, что сканирование C&C-серверов в Интернете иногда похоже на поиск «иголки в стоге сена». Однако, как только сканирование C&C-серверов заработает, оно может стать самым эффективным подходом к обнаружению угроз.