Darktrace, компания, специализирующаяся на кибербезопасности, обнаружила кластер включений, связанных с вредоносным ПО ShadowPad, в 2024 году.
ShadowPad
ShadowPad – это инструмент, используемый злоумышленниками для кражи данных. Атрибуция, то есть определение и отслеживание источника злоумышленнической деятельности, часто является сложной задачей из-за сложности цифровых сетей и изощренности злоумышленников.
Darktrace основывает свою стратегию на обнаружении поведенческих аномалий, что помогает выявить известные и новые кампании злоумышленников. Период с июля по ноябрь 2024 года, Darktrace обнаружила кластер активности ShadowPad, начинающийся с входа злоумышленника в виртуальную частную сеть организации с помощью скомпрометированных учетных данных. Затем злоумышленник получает доступ к учетным данным и перемещается по системе, доставляя файлы, связанные с модульным ПО ShadowPad, на внутренние системы организации.
Эти активности ShadowPad были обнаружены в сетях европейских клиентов Darktrace и представлены в различных отчетах. Darktrace также заметила использование ShadowPad другими злоумышленниками без общей инфраструктуры.
В одном из случаев клиент Darktrace, европейский производитель, столкнулся с кластером ShadowPad, а через несколько месяцев была обнаружена отдельная активность в его сети. Этот поток активности включал в себя латеральное перемещение, сбор конфиденциальной информации и ее утечку на взломанные сайты.
Indicators of Compromise
IPv4
- 108.181.92.71
- 185.148.129.24
- 203.170.190.137
- 38.54.95.190
- 45.158.12.7
- 5.187.53.50
- 67.209.121.137
- 75.102.23.3
- 78.46.146.147
- 78.46.20.225
- 86.107.36.15
- 89.19.29.128
- 89.46.106.61
- 94.138.200.40
- 94.199.206.45
- 94.73.151.72
Domains
- angoramedikal.com
- anvil.org.ph
- awork-designs.dk
- digitweco.com
- duepunti-studio.it
- goldenborek.com
- hobivan.net
- lacapannadelsilenzio.it
- lieta.it
- lovetamagotchith.com
- mediostresbarbas.com.ar
- mnmathleague.org
- partnerls.pl
- scgestor.com.br
- tunemmuhendislik.com
- yasuconsulting.com
