Các nhà nghiên cứu an ninh mạng đã chi tiết hóa hoạt động bên trong của ShadowPad, một cửa hậu phức tạp và mô-đun đã được ngày càng nhiều nhóm đe dọa Trung Quốc áp dụng trong những năm gần đây, đồng thời liên kết nó với các cơ quan tình báo quân sự và dân sự của đất nước.
“ShadowPad được giải mã trong bộ nhớ bằng thuật toán giải mã tùy chỉnh”, các nhà nghiên cứu từ Secureworks cho biết trong một báo cáo được chia sẻ với The Hacker News. “ShadowPad trích xuất thông tin về máy chủ, thực thi các lệnh, tương tác với hệ thống tệp và sổ đăng ký, đồng thời triển khai các mô-đun mới để mở rộng chức năng.”
ShadowPad là một nền tảng phần mềm độc hại dạng mô-đun chia sẻ sự chồng chéo đáng chú ý với phần mềm độc hại plugx và đã được đưa vào sử dụng trong các cuộc tấn công cao cấp chống lại NetSarang, CCleaner và ASUS, khiến các nhà khai thác phải thay đổi chiến thuật và cập nhật các biện pháp phòng thủ của họ.
Trong khi các chiến dịch ban đầu cung cấp ShadowPad được cho là do một nhóm mối đe dọa được theo dõi là Bronze Atlas hay còn gọi là Barium – công dân Trung Quốc làm việc cho một công ty an ninh mạng có tên Chengdu 404 – kể từ đó, nó đã được nhiều nhóm đe dọa Trung Quốc sử dụng sau năm 2019.
Trong một tổng quan chi tiết về phần mềm độc hại vào tháng 8 năm 2021, công ty an ninh mạng SentinelOne đã gọi ShadowPad là “kiệt tác về phần mềm độc hại được bán riêng cho hoạt động gián điệp của Trung Quốc.” Một phân tích tiếp theo của PwC vào tháng 12 năm 2021 đã tiết lộ một cơ chế đóng gói riêng – được đặt tên là ScatterBee – được sử dụng để làm xáo trộn các tải trọng 32-bit và 64-bit độc hại cho các tệp nhị phân ShadowPad.
Theo truyền thống, phần mềm độc hại được triển khai tới một máy chủ được mã hóa trong bộ tải DLL hoặc được nhúng bên trong một tệp riêng biệt cùng với bộ tải DLL, sau đó giải mã và thực thi phần tải ShadowPad được nhúng trong bộ nhớ bằng cách sử dụng thuật toán giải mã tùy chỉnh phù hợp với phiên bản phần mềm độc hại.
Những trình tải DLL này thực thi phần mềm độc hại sau khi được truyền bởi tệp thực thi hợp pháp dễ bị tấn công thứ tự tìm kiếm DLL, một kỹ thuật cho phép thực thi phần mềm độc hại bằng cách chiếm quyền điều khiển phương pháp được sử dụng để tìm kiếm các DLL cần thiết để tải vào một chương trình.
Các chuỗi lây nhiễm được Secureworks quan sát thấy cũng liên quan đến tệp thứ ba chứa tải trọng ShadowPad được mã hóa, hoạt động bằng cách thực thi tệp nhị phân hợp pháp (ví dụ: BDReinit.exe hoặc Oleview.exe) để tải tệp DLL, lần lượt tải và giải mã tệp thứ ba tập tin.
Ngoài ra, tác nhân đe dọa đã đặt tệp DLL trong thư mục Windows System32 để được tải bởi Dịch vụ cấu hình máy tính từ xa (SessionEnv), cuối cùng dẫn đến việc triển khai Cobalt Strike trên các hệ thống bị xâm phạm.
Trong một sự cố ShadowPad, các cuộc xâm nhập đã mở đường cho việc khởi động các cuộc tấn công bằng bàn phím, đề cập đến các cuộc tấn công trong đó tin tặc là con người đăng nhập thủ công vào hệ thống bị nhiễm để tự thực thi các lệnh thay vì sử dụng các tập lệnh tự động.
Ngoài ra, Secureworks quy các cụm hoạt động ShadowPad riêng biệt, bao gồm Bronze Geneva (còn gọi là Hellsing), Bronze Butler (hay còn gọi là Tick) và Bronze Huntley (hay còn gọi là Đội Tonto), cho các nhóm quốc gia-nhà nước Trung Quốc hoạt động theo sự hỗ trợ chiến lược của Quân đội Giải phóng Nhân dân. Lực lượng (PLASSF).
“Chứng cớ […] Các nhà nghiên cứu cho biết ShadowPad đã được triển khai bởi các nhóm đe dọa liên kết với MSS, cũng như các nhóm đe dọa liên kết với PLA hoạt động thay mặt các lệnh của nhà hát khu vực. sau đó được chia sẻ với các nhóm đe dọa MSS và PLA vào khoảng năm 2019. “
.
