Ricerca sul backdoor APT ShadowPad e la sua relazione a PlugX

27 ottobre 2020

Introduzione

A luglio 2020 abbiamo pubblicato una ricerca su attacchi APT a enti statali di Kazakistan e Kirghizistan con un'analisi dettagliata dei malware trovati nelle reti compresse. Nel processo dell'indagine gli analisti di virus Doctor Web hanno esaminato e descritto diversi gruppi di programmi trojan, inclusi sia campioni di famiglie già riscontrate dagli specialisti che trojan precedentemente sconosciuti tra cui la scoperta più importante sono stati i campioni della famiglia XPath. Siamo riusciti anche a scoprire una serie di indizi che ci hanno consentito di correlare i due incidenti inizialmente indipendenti. In entrambi i casi i malintenzionati utilizzavano set di software malevoli simili, in particolare, gli stessi backdoor strettamente specializzati con i quali sono stati infettati i controller di dominio nelle organizzazioni attaccate.

Nel corso della perizia gli analisti hanno studiato campioni dei backdoor multimodulari PlugX che venivano impiegati per la penetrazione iniziale nell'infrastruttura di rete. L'analisi ha mostrato che alcune varianti di PlugX utilizzavano server di gestione collocati sugli stessi nomi a dominio degli altri backdoor esaminati relativi agli attacchi mirati agli enti dei paesi centroasiatici. Inoltre, il rilevamento dei programmi della famiglia PlugX indica un possibile coinvolgimento di gruppi APT cinesi negli incidenti in esame.

Secondo i nostri dati, la presenza non autorizzata in entrambe le reti durava più di tre anni, e potevano partecipare agli attacchi diversi gruppi di hacker contemporaneamente. Indagini su incidenti informatici così complessi presuppongono un lungo lavoro per cui possono essere raramente abbracciate da una singola pubblicazione.

Al laboratorio di virus Doctor Web sono arrivati nuovi campioni di malware rilevati su uno dei computer infetti della rete locale di un ente statale di Kirghizistan.

In aggiunta ai programmi malevoli descritti nell'articolo precedente, merita una particolare attenzione il backdoor ShadowPad. Varie varianti di questa famiglia sono il noto strumento Winnti di un gruppo APT di origine presumibilmente cinese, attivo almeno dal 2012. È interessante notare che sul computer insieme a ShadowPad era anche installato il backdoor Farfli, ed entrambi i programmi si connettevano allo stesso server di gestione. Oltre a ciò, sullo stesso computer abbiamo rilevato diverse varianti di PlugX.

In questa ricerca abbiamo analizzato gli algoritmi di operazione dei backdoor rilevati. Una particolare attenzione viene prestata alle somiglianze nel codice dei campioni di ShadowPad e PlugX, nonché ad alcune intersezioni nella loro infrastruttura di rete.

Lista dei malware rilevati

Sul computer infetto sono stati trovati i seguenti backdoor:

Hash SHA256	Rilevamento	Server di gestione	Data di installazione
ac6938e03f2a076152ee4ce23a39a0bfcd676e4f0b031574d442b6e2df532646	BackDoor.ShadowPad.1	www[.]pneword[.]net	07.09.2018 13:14:57.664
9135cdfd09a08435d344cf4470335e6d5577e250c2f00017aa3ab7a9be3756b3 2c4bab3df593ba1d36894e3d911de51d76972b6504d94be22d659cff1325822e	BackDoor.Farfli.122 BackDoor.Farfli.125	www[.]pneword[.]net	03.11.2017 09:06:07.646
3ff98ed63e3612e56be10e0c22b26fc1069f85852ea1c0b306e4c6a8447c546a (loader DLL) b8a13c2a4e09e04487309ef10e4a8825d08e2cd4112846b3ebda17e013c97339 (modulo principale)	BackDoor.PlugX.47 BackDoor.PlugX.48	www[.]mongolv[.]com	29.12.2016 14:57:00.526
32e95d80f96dae768a82305be974202f1ac8fcbcb985e3543f29797396454bd1 (loader DLL) b8a13c2a4e09e04487309ef10e4a8825d08e2cd4112846b3ebda17e013c97339 (modulo principale)	BackDoor.PlugX.47 BackDoor.PlugX.48	www[.]arestc[.]net	23.03.2018 13:06:01.444
b8a13c2a4e09e04487309ef10e4a8825d08e2cd4112846b3ebda17e013c97339 (modulo principale)	BackDoor.PlugX.48	www[.]icefirebest[.]com	03.12.2018 14:12:24.111

Per un'ulteriore ricerca, abbiamo trovato e analizzato altri campioni della famiglia ShadowPad per esaminare più nel dettaglio la somiglianza dei backdoor delle famiglie ShadowPad e PlugX:

BackDoor.ShadowPad.3,
BackDoor.ShadowPad.4 — una variante di ShadowPad che si trovava all'interno di un dropper WinRAR autoestraente e caricava un modulo non tipico per questa famiglia sotto forma di una libreria DLL.

Uno studio dettagliato dei campioni di ShadowPad e il loro confronto con le varianti di PlugX precedentemente studiate mostrano un'elevata somiglianza dei meccanismi di azione e delle strutture modulari dei backdoor di entrambe le famiglie. Questi programmi malevoli sono accomunati non solo dal concetto generale, ma anche dai particolari del codice: alcuni metodi di sviluppo, idee e soluzioni tecniche praticamente si copiano a vicenda. Un fatto importante è anche quello che entrambi i backdoor si trovavano nella rete compromessa dell'ente statale kirghiso.

Descrizioni tecniche dettagliate dei malware rilevati sono disponibili nella versione PDF della ricerca e nella libreria di virus Dr.Web.

Conclusione

I dati in nostro possesso ci consentono di trarre conclusioni sulla relazione di queste famiglie, e sono possibili sia il semplice prestito del codice che lo sviluppo di entrambi i programmi da parte dello stesso autore o gruppo di autori. Nel secondo caso, sembra molto probabile l'evoluzione di PlugX in ShadowPad che è più nuovo e più perfetto in quanto il suo formato di conservazione dei moduli malevoli ne rende molto più difficile il rilevamento nella memoria operativa.

Indicatori di compromissione

Vota

To vote, log in under your account or create an account if you don't have one yet.

Rilancia la notizia sui social

Metti il "Like"

Quali sono i vantaggi dell'account?

La tua opinione conta per noi

Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.