На уязвимом сервере Exchange обнаружен новый модульный бэкдор ShadowRelay

В результате анализа на сервере были обнаружены инструменты различных угроз, включая ShadowPad, Shadowpad Light, Donnect и Mythic Agent. Среди этого арсенала исследователи и выявили ShadowRelay. Новый бэкдор примечателен своей модульной архитектурой. Он позволяет операторам удаленно загружать плагины, которые реализуют необходимую функциональность, будь то шпионаж или удаленное управление. При этом сам имплант не содержит явной вредоносной нагрузки (malicious payload), что затрудняет его обнаружение.

Технический анализ показал, что ShadowRelay обладает набором функций для скрытного присутствия в системе. Он пытается устанавливаться в качестве службы, проверяет окружение на наличие средств отладки и песочниц, а при неудаче активирует функцию самоудаления. Бэкдор способен внедряться в легитимные процессы и использовать технику перехвата и повторного использования открытых сетевых портов для маскировки своего трафика. Это позволяет ему потенциально обходить правила межсетевых экранов.

Особенностью ShadowRelay является возможность работы в двух режимах: клиент и сервер. Это позволяет выстраивать цепочки из зараженных машин внутри корпоративной сети. Например, бэкдор на компьютере без прямого выхода в интернет может связываться с управляющим сервером через другую скомпрометированную систему, выступающую в роли ретранслятора. Для общения используется собственная структура пакетов с сигнатурой «S&j0$» и шифрование AES.

Конфигурация бэкдора, извлеченная из образцов, содержит параметры для подключения к командным серверам (Command and Control, C2). Аналитики обнаружили три варианта конфигурации, что указывает на активную разработку инструмента. Плагины для бэкдора, которые должны содержать функции "plugin_init", "plugin_task" и "plugin_deinit", пока не найдены. Следовательно, окончательные цели атакующих и полный функционал остаются неясными.

Инцидент был инициирован предположительно азиатской APT-группировкой (Advanced Persistent Threat) Erudite Mogwai. Однако ShadowRelay был размещен в период активности другой группы, известной как Obstinate Mogwai. Пока нет достаточных свидетельств, чтобы однозначно связать новый бэкдор с конкретным злоумышленником. Скорее, уязвимый сервер стал общей точкой доступа для нескольких противоборствующих сторон.

Специалисты подчеркивают, что комплексные возможности ShadowRelay, такие как скрытие сетевой активности, внедрение в процессы и модульность, говорят о высоком уровне подготовки его создателей. Основной целью, вероятно, является длительное скрытное присутствие в инфраструктуре жертвы для сбора информации, что характерно для государственных хакерских групп. Обнаружение подчеркивает критическую важность своевременного обновления программного обеспечения, особенно публично доступных сервисов, и проведения регулярных аудитов безопасности.

IPv4

• 5.34.176.39
• 94.131.2.59

MD5

• 0bd08e75f20e0e664c219d744d28f57b
• 5cbeb83ae2cebc318fffbadc29ceacdb
• 7d3f5ac6ec93f6e03409b5cd6bd3b817

SHA1

• 2358fd681988f67f35049d6d653b7df3a2c37ccb
• 7a8ffcbec06f8252aa84b8787a44df9ce074e72c
• 8cc7bcaf9d436a12f300638c3cbc77d4e9585008

SHA256

• 0968de8d650848e2c3e381593e47e4216cfecd45e377264fab976ba214b38fec
• 504d27aa26256fff8083cb7563d8bb0123516f1120f8c609ba57d91acf349416
• 541628370c4d4f64468021bd83414efa9ee1634554acf29055c6c1dfa601a5e5