В ПО для управления сервером NetSarang обнаружен бэкдор

В ПО для управления сервером NetSarang обнаружен бэкдор

Каким образом вредонос попал в продукцию NetSarang, неизвестно.

Исследователи «Лаборатории Касперского» обнаружили скрытый бэкдор в ПО для управления сервером NetSarang Xmanager и Xshell. Секретный бэкдор, названный исследователями Shadowpad, скрыт в библиотеке nssock2.dll и каждые восемь часов передает C&C-серверу данные о скомпрометированном компьютере, его сети и именах пользователей.

Бэкдор активируется следующим образом. Сначала .DLL генерирует доменное имя, основываясь на дате (месяц и год). Специально созданная для домена запись DNS TXT вызывает открытие канала к управляющему серверу, и ПО загружает ключ для дешифровки. После этого у атакующего появляется возможность запускать код и похищать данные. Любой, кто может настроить доменное имя для определенного месяца и года и сымитировать C&C-сервер, способен получить контроль над организацией, использующей уязвимое ПО NetSarang.

Проблема затрагивает Xmanager Enterprise 5.0 (сборка 1232), Xmanager 5.0 (сборки 1045), Xshell (сборка 1322), Xftp 5.0 (сборка 1218) и Xlpd 5.0 (сборка 1220). Похоже, что неизвестным удалось незаметно вмешаться в операции NetSarang и незаметно внедрить бэкдор. Производитель выясняет, каким образом Shadowpad попал в их продукцию, и уже выпустил обновление.

Бэкдор был внедрен в ПО 13 июля и попал к пользователям спустя пять дней. По словам исследователей, вредонос имеет определенное сходство с хакерскими инструментами PlugX и Winnti, используемыми китайскими киберпреступниками.

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.