ShadowPad - это модульная платформа для вредоносного ПО, которой с 2015 года в частном порядке поделились несколько связанных с КНР субъектов угроз. По данным SentinelOne, ShadowPad, скорее всего, является преемником PlugX. В связи с его распространенностью в сфере кибершпионажа подразделение VMware Threat Analysis Unit (TAU) было мотивировано проанализировать протокол командования и управления (C2), чтобы обнаружить активные C2 ShadowPad в Интернете.
Indicators of Compromise
IPv4
- 103.120.82.2
- 103.120.82.243
- 103.133.139.23
- 103.133.139.29
- 103.138.82.202
- 103.138.82.215
- 103.143.73.116
- 103.151.229.130
- 103.151.229.139
- 103.151.229.35
- 103.151.229.74
- 103.209.233.172
- 103.231.14.171
- 103.254.75.140
- 103.27.108.20
- 103.27.109.182
- 103.56.19.113
- 103.56.19.157
- 103.56.19.42
- 103.93.76.135
- 107.155.50.198
- 116.204.134.123
- 120.79.8.23
- 134.122.134.140
- 134.122.188.187
- 137.220.185.203
- 137.220.53.224
- 137.220.55.36
- 139.180.188.58
- 139.180.193.182
- 14.18.191.150
- 149.127.176.12
- 149.127.176.14
- 149.127.176.22
- 149.28.151.244
- 152.32.133.68
- 152.32.139.128
- 154.201.144.60
- 154.215.96.211
- 154.38.118.107
- 156.240.104.115
- 156.240.104.149
- 156.240.107.248
- 158.247.202.188
- 163.197.32.39
- 163.197.34.109
- 164.155.51.9
- 167.179.78.160
- 167.71.236.226
- 172.105.36.249
- 173.254.227.204
- 185.207.155.146
- 188.116.48.62
- 193.239.191.95
- 211.239.213.13
- 213.59.118.124
- 38.54.4.48
- 38.55.223.221
- 43.129.188.223
- 45.134.1.74
- 45.137.10.3
- 45.32.102.50
- 45.32.121.100
- 45.32.248.92
- 45.76.152.71
- 45.77.169.228
- 45.77.250.209
- 45.77.252.157
- 45.79.122.225
- 5.181.4.59
- 61.97.248.72
- 65.21.57.12
- 66.42.60.66
- 8.136.179.117
- 8.208.94.94
- 85.9.26.104
- 92.38.135.71
- 95.85.67.48
SHA256
- 03b7b511716c074e9f6ef37318638337fd7449897be999505d4a3219572829b4
- 1ded9878f8680e1d91354cbb5ad8a6960efd6ddca2da157eb4c1ef0f0430fd5f
- 536def339fefa0c259cf34f809393322cdece06fc4f2b37f06136375b073dff3
- 9447b75af497e5a7f99f1ded1c1d87c53b5b59fce224a325932ad55eef9e0e4a
- aef610b66b9efd1fa916a38f8ffea8b988c20c5deebf4db83b6be63f7ada2cc0
- d011130defd8b988ab78043b30a9f7e0cada5751064b3975a19f4de92d2c0025