Исследователи выявили 85 серверов управления китайского инструмента ShadowPad
И стали ближе к эффективному методу борьбы с киберпреступниками.
С сентября 2021 года было обнаружено 85 серверов управления и контроля (C&C), поддерживаемых операторами вредоносного ПО ShadowPad, а вся инфраструктура выявлена 16 октября 2022 года.
Об этом сообщает подразделение по анализу угроз VMware TAU, которое изучило 3 варианта ShadowPad , использующих протоколы TCP, UDP и HTTP(S) для связи с C&C-сервером. ShadowPad, рассматриваемый как преемник PlugX , представляет собой модульную платформу вредоносного ПО, совместно используемую китайскими правительственными хакерами с 2015 года.
.png)
Анализ трех артефактов ShadowPad, которые ранее использовались группировками Winnti (APT41), Tonto Team и новым кластером угроз Space Pirates соответственно, позволил обнаружить C&C-серверы путем сканирования списка открытых хостов, сгенерированного инструментом ZMap.
Также компания заявила, что образцы вредоносного ПО Spyder Loader и ReverseWindow, взаимодействующие с IP-адресами сервера ShadowPad, являются инструментами, которые используют группировки Winnti и LuoYu.
Старший исследователь угроз в VMware TAU Такахиро Харуяма сказал, что сканирование C&C-серверов в Интернете иногда похоже на поиск «иголки в стоге сена». Однако, как только сканирование C&C-серверов заработает, оно может стать самым эффективным подходом к обнаружению угроз.
Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!