I ricercatori di cybersecurity hanno dettagliato il funzionamento interno di ShadowPad, una backdoor sofisticata e modulare che è stata adottata da un numero crescente di gruppi di minaccia cinesi negli ultimi anni, collegandola anche alle agenzie di intelligence civili e militari del paese.
“ShadowPad viene decifrato in memoria utilizzando un algoritmo di decrittazione personalizzato. ShadowPad estrae informazioni sull’host, esegue comandi, interagisce con il file system e il registro, e distribuisce nuovi moduli per estendere le funzionalità”.
ShadowPad è un trojan di accesso remoto in grado di mantenere un accesso persistente ai computer compromessi e di eseguire comandi arbitrari e payloads di livello successivo. Condivide anche notevoli sovrapposizioni con il malware PlugX ed è stato utilizzato in attacchi di alto profilo contro NetSarang, CCleaner e ASUS, inducendo gli operatori a cambiare tattica e aggiornare le loro misure difensive.
Mentre le campagne iniziali che hanno consegnato ShadowPad sono state attribuite a un cluster di minacce rintracciato come Bronze Atlas (aka APT41, Barium, o Winnti Umbrella), da allora è stato utilizzato da più gruppi di minacce cinesi post 2019.
In una panoramica dettagliata del malware nell’agosto 2021, la società di cybersicurezza SentinelOne ha soprannominato ShadowPad un “capolavoro di malware venduto privatamente nello spionaggio cinese“. Una successiva analisi di PwC nel dicembre 2021 ha rivelato un meccanismo di imballaggio su misura – chiamato ScatterBee – che viene utilizzato per offuscare i payload dannosi a 32-bit e 64-bit per i binari di ShadowPad.
I payload del malware sono tradizionalmente distribuiti a un host o criptati all’interno di un caricatore DLL o incorporati all’interno di un file separato insieme a un caricatore DLL, che poi decifra ed esegue il payload ShadowPad incorporato in memoria utilizzando un algoritmo di decrittazione personalizzato su misura per la versione del malware.
Questi caricatori DLL eseguono il malware dopo essere stati associati ed eseguiti da un eseguibile legittimo vulnerabile al DLL search order hijacking, una tecnica che permette l’esecuzione del malware dirottando il metodo utilizzato per cercare le DLL necessarie da caricare in un programma.
Alcune catene di infezione osservate da Secureworks coinvolgono anche un terzo file che contiene il payload crittografato di ShadowPad, che funziona eseguendo il binario legittimo (ad esempio, BDReinit.exe o Oleview.exe).
In alternativa, l’attore della minaccia ha collocato il file DLL nella directory System32 di Windows in modo da essere caricato dal Remote Desktop Configuration (SessionEnv) Service, portando infine alla distribuzione di Cobalt Strike sui sistemi compromessi.
In un incidente di ShadowPad, le intrusioni hanno aperto la strada al lancio di attacchi hands-on-keyboard, che si riferiscono ad attacchi in cui gli hacker umani entrano manualmente in un sistema infetto per eseguire i comandi da soli piuttosto che utilizzare script automatici.
Inoltre, Secureworks ha attribuito distinti cluster di attività ShadowPad, tra cui Bronze Geneva (aka Hellsing), Bronze Butler (aka Tick), e Bronze Huntley (aka Tonto Team), a gruppi cinesi di stato-nazione che operano in allineamento con la People’s Liberation Army Strategic Support Force (PLASSF).
“Il malware è stato probabilmente sviluppato da attori di minacce affiliati a Bronze Atlas e poi condiviso con i gruppi di minacce MSS e PLA intorno al 2019”.
