ShadowPad - это модульный троян удаленного доступа (RAT), который, как считается, используется почти исключительно китайскими угрожающими субъектами.
В инциденте первоначальный доступ был получен через CVE-2022-29464. Действующее лицо использовало веб-оболочку для загрузки бэкдора, в данном случае PoisonIvy. Он был развернут с помощью вредоносной DLL и использовал тактику захвата порядка поиска DLL, которая постоянно применялась на протяжении всей атаки. Угрожающий субъект также использовал командную строку и PowerShell на протяжении всего инцидента.
ShadowPad собирает учетные данные веб-браузера, а также является кейлоггером.
Чтобы избежать обнаружения, угрожающий агент предпринял значительные действия по защите от криминализации файлов, связанных с ShadowPad. Это включало временную привязку вредоносной DLL и применение к файлам NTFS атрибутов hidden и system. Для загрузки конфигурационного файла использовались легитимные, но переименованные двоичные файлы Windows. Угрожающий агент также использовал легитимную библиотеку Windows DLL, secur32.dll, в качестве имени конфигурационного файла для бэкдора ShadowPad.
Indicators of Compromise
MD5
- 1a9115b2d21384c6da3c21fcca5201a4
- 1e6e936a0a862f18895bc7dd6f607eb4
- 4bfe4975ceaa15ed0031941a390fab55
- 54b419c2cac1a08605936e016d460697
- 7504dea93db3b8417f16145e8272ba08
- 87f9d1de3e549469f918778bd637666d
- 8e9f8e8ab0bef7838f2a5164cf7737e4
- a6a19804248e9cc5d7de5aea86590c63
- b426c17b99f282c13593954568d86863
- d1d0e39004fa8138e2f2c4157fa3b44b
- d99b22020490ecc6f0237efb2c3def27