ShadowPadは、Windows環境向けのバックドアです。
多くのキャンペーンでの利用が確認されています。
このShadowPadは、特定の脅威アクターが自分たちが利用することを目的に開発したものではなく、マルウェアを作って販売することを目的として開発されたものです。
ShadowPadは継続的に開発が行われており、その機能性もあって人気が高いものとなっています。
脅威アクターによってはShadowPadを採用することによって、自組織でのマルウェアの開発を停止することを選択するものもあるようです。
販売先は多岐にわたるように推測されますが、特に中国関連の脅威アクターでの採用が多く確認されています。
このShadowPadは実に高機能で、次のようなものとなっています。
- 多数のプラグインを組み合わせて動作する仕組みになっている
- まず最初にルートプラグインを復号化してメモリにロードすることで機能を開始する
- ルートプラグインは他の組み込みモジュールのロードを実施する
- 少なくとも22のプラグインの存在が確認されている
- バックドア通信機能、C2インフラストラクチャの更新機能、を含むプラグイン管理機能が提供される
- プラグインの全部入りを販売するのではなく、販売者はプラグインを別々に管理し販売している
つまりは犯罪ツールにかけるコストを必要最小限に抑えることができる体制で販売されているといえそうです。 - 情報収集などの犯罪実施方向の機能と、フォレンジック対策機能などの検出防止方向の機能の両方が活発に開発されている
攻撃者側は、このようなものを使うことで、運用コストを抑えることに取り組み始めています。
私たち防御側は、どのような手段で対抗していくことが良いでしょうか。
参考記事(外部リンク):ShadowPad Malware is Becoming a Favorite Choice of Chinese
Espionage Groups
thehackernews.com/2021/08/shadowpad-malware-is-becoming-favorite.html
| この記事をシェア |
|
|---|
