Anzeige

Spyware

ShadowPad ist ein raffinierter modularer Spionage-Trojaner, der als Hintertür im Code der Netzwerk-Administrationssoftware fungiert und somit dem Angreifer vollen Zugriff auf alle Anwender des Netzwerks ermöglicht. Die Besonderheit ist, dass ShadowPad regelmäßig mit Weiterentwicklungen für eine fortgeschrittene andauernde Bedrohung und gegen eine Malware Erkennung geupdatet wird.

Dies macht es sehr attraktiv für viele Bedrohungsakteure weltweit, da durch die Einführung von ShadowPad die Entwicklungs- und Wartungskosten signifikant gesenkt werden können, sodass einige Akteure ihre eigene Entwicklung von Backdoor-Malware ganz einstellen, wenn sie Zugriff auf ShadowPad erlangt haben.

ShadowPad entstand 2015 als Nachfolger von PlugX, aber erst durch die Angriffe auf die Software-Lieferketten der Plattformen CCleaner (2017), NetSarang (2017) und ASUS (2019), erregte die Malware die öffentliche Aufmerksamkeit. Im Gegensatz zu der frei verkäuflichen PlugX Malware wird ShadowPad nur privat innerhalb einer begrenzten Gruppe von Nutzern geteilt, wobei die Entwickler von China aus agieren.
 

Erforschung des digitalen Ökosystems und der beteiligten Bedrohungsakteure

Nach dem Zusammentragen von bisherigen, auf einen Angriff mit ShadowPad zurückzuführenden IoCs (Indicators of Compromise), stellt sich den Sicherheitsexperten von SentinelLabs – der Forschungsabteilung von SentinelOne – die Frage, welche Bedrohungsakteure ShadowPad in ihren Operationen verwenden und wie sich das auf die allgemeine Bedrohungslage durch chinesische Spionageakteure auswirkt. Zur Beantwortung dieser Fragen, haben die Forscher eine umfassende Studie zum Ursprung, der Verwendung und dem Ökosystem von ShadowPad durchgeführt. Der vollständige Bericht hierzu beinhaltet einen detaillierten Überblick über ShadowPad, einschließlich seiner Geschichte, technischen Details und einer Einschätzung seines Geschäftsmodells, sowie seines Ökosystems und eine detaillierte Beschreibung von vier Aktivitätsclustern, in denen ShadowPad verwendet wurde.

Zudem wird eine Diskussion darüber angestoßen, wie die Entstehung von ShadowPad die Angriffsstrategien einiger in China ansässiger Bedrohungsakteure verändert und wie ShadowPad die allgemeine Bedrohungslage für chinesische Spionageangriffe beeinflusst. Die Sicherheitsexperten und Analysten, die in China ansässige Bedrohungsakteure verfolgen, stoßen aufgrund der Einführung dieser kommerziellen Hintertür-Software auf Schwierigkeiten dabei sicherzustellen, gegen welchen Bedrohungsakteur genau sie ermitteln. Diese Problematik verlangt systematischere Ansätze, um eine analytisch fundierte Zuschreibung von Angriffen zu ermöglichen. 

Eine Analyse der Beziehung zwischen den verschiedenen Indikatoren, sowie ein langfristiges Monitoring der Aktivitäten und Kampagnen der Bedrohungsakteure die mit ShadowPad arbeiten, wären beispielsweise sinnvolle Optionen, um ein genaueres Bild der spezifischen Angreifer zu erhalten. In diesem Zusammenhang ist es besonders wichtig, bei jeder öffentlich getätigten Namensnennung von vermutlichen ShadowPad-Nutzern, vorher eine sehr sorgfältige Validierung und eine starke Beweisführung durchgeführt zu haben, damit die Anstrengungen der gesamten Cybersecurity-Community bei der Identifizierung chinesischer Spionage unterstützt werden können.

de.sentinelone.com


Weitere Artikel

Hacker

Wenn Prometheus das Feuer stiehlt

Moderne Versionen der Open-Source-Lösung Prometheus unterstützen Sicherheitsmechanismen wie Basisauthentifizierung und TLS, die explizit konfiguriert werden müssen und nicht standardmäßig aktiviert sind. Andernfalls können Hacker leicht sensible Informationen…
Hackerangriff

Reaktionszeit auf Cyberangriffe dauert mehr als zwei Arbeitstage

Deep Instinct, Entwickler eines Deep-Learning-Framework für Cybersicherheit, veröffentlicht mit der zweiten Ausgabe des halbjährlichen Voice of SecOps Reports neue Zahlen zur aktuellen Cyber-Bedrohungslage zu der weltweit Cybersicherheitsexperten befragt…
Ransomware

1 von 5 Unternehmen war schon Opfer von Ransomware

Eine kürzlich durchgeführte Umfrage der Cybersecurity-Experten von Hornetsecurity unter mehr als 820 Unternehmen ergab, dass 21 % der Befragten bereits Opfer eines Ransomware-Angriffs wurden. Ransomware ist eine der häufigsten und effektivsten Formen der…
Cybercrime

NSA warnt vor Wildcard-Zertifikaten und Alpaca-Angriffen

Die NSA hat Anfang Oktober eine Warnung und Anleitung herausgegeben, wie sich Unternehmen vor Alpaca-Angriffen schützen können, indem sie ihre Wildcard-Zertifikate besser kontrollieren. Die NSA warnt vor dem neuen Application Layer Protocol Content Confusion…
Spam Mails

Was ist Spam und wer profitiert davon?

Mit Spam werden unerwünschte E-Mails bezeichnet, die in gigantischen Mengen über ein elektronisches Nachrichtensystem oder über das World Wide Web versandt werden. Erfahren Sie im folgenden Artikel, was Spam ist, wie es funktioniert, wie Sie Spam erkennen…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.