Исследователи из Secureworks подробно разобрали вредоносное ПО ShadowPad. ShadowPad - сложный и модульный бэкдор: он извлекает информацию о хосте, выполняет команды, взаимодействует с файловой системой и реестром и развертывает новые модули для расширения функциональности. В последние годы стал активно применяться многими китайскими АРТ. Как мы уже упоминали, ShadowPad, автором которого считается APT Winnti, используется по меньшей мере пятью китайскими хакерскими группами. ShadowPad имеет заметные сходства с вредоносным ПО PlugX, которое, в свою очередь, использовалось в резонансных атаках на NetSarang, CCleaner и ASUS. Хотя первоначальные кампании по доставке ShadowPad были связаны с актором, отслеживаемым как Bronze Atlas, также известным как Barium, связанной с Chengdu 404, позже после 2019 года он использовался несколькими китайскими АРТ. ShadowPad в своей работе применяет специальный механизм упаковки под названием ScatterBee, который используется для запутывания вредоносных 32-битных и 64-битных полезных нагрузок. Полезные нагрузки развертываются на хосте либо в зашифрованном виде с помощью загрузчика DLL, либо встраиваются в отдельный файл вместе с загрузчиком DLL, который затем расшифровывает и выполняет встроенную полезную нагрузку ShadowPad в памяти с использованием специального алгоритма дешифрования, адаптированного к версии вредоносного ПО. Эти загрузчики DLL запускают вредоносные программы после того, как они были загружены легитимным исполняемым файлом, уязвимым для метода перехвата порядка поиска библиотек DLL. Отдельные цепочки заражения, которые наблюдали Secureworks, также включали третий файл, содержащий зашифрованную полезную нагрузку ShadowPad, которая работает путем выполнения легитимного двоичного файла (например, BDReinit.exe или Oleview.exe) для загрузки DLL, которая и загружает и расшифровывает третий файл. Кроме того, злоумышленник размещает файл DLL в каталог Windows System32 для загрузки службой настройки удаленного рабочего стола (SessionEnv), что в конечном итоге приводит к развертыванию Cobalt Strike на скомпрометированных системах. В одном из расследовавшихся инцидентов с применением ShadowPad исследователи и вовсе наблюдали за тем, как хакеры вручную выполняли команды без применения автоматических сценариев. По результатам своей аналитики Secureworks, предположили применение ShadowPad несколькими АРТ, включая Bronze Geneva (Hellsing), Bronze Butler (Tick) и Bronze Huntley (Tonto Team), которые действуют в интересах сил стратегической поддержки Народно-освободительной армии (PLASSF). Исследователи пришли к выводу о том, что вредоносное ПО было разработано злоумышленниками, связанными с Bronze Atlas, а затем передано АРТ, действующим в интересах Министерства государственной безопасности КНР (MSS) и PLA примерно в 2019 году. Как мы и предполагали.