可用

研究人员揭露了 80 多台 ShadowPad 恶意软件 C2 服务器

  • 浏览次数 16257
  • 喜欢 0
  • 评分 12345

Hackernews 编译,转载请注明出处:

微信截图_20221028095012

自2021年9月以来,已发现多达85个命令控制(C2)服务器受ShadowPad恶意软件支持,最近于2022年10月16日检测到基础设施。

这是根据VMware的威胁分析小组(TAU)的说法,该小组研究了三种ShadowPad变体,使用TCP、UDP和HTTP(S)协议进行C2通信。

ShadowPad被视为PlugX的继承者,是一个模块化恶意软件平台,自2015年以来由多个中国国家赞助的黑客私下共享。

今年5月初,台湾网络安全公司TeamT5披露了另一个名为Pangolin8RAT的中国nexus模块化植入程序的细节,据信它是PlugX和ShadowPad恶意软件家族的继任者,将其与一个名为“Tianwu”的黑客组织联系起来。

微信截图_20221028095039

VMware表示,对WinntiTonto团队和代号为“Space Pirates”的新兴黑客组织之前使用的三个ShadowPad工件进行了分析,通过扫描一个名为ZMap的工具生成的开放主机列表,可以发现C2服务器。

该公司进一步披露,它发现了与ShadowPad C2 IP地址通信的Spyder和ReverseWindow恶意软件样本,这两者都是APT41(又名Winnti)和LuoYu使用的恶意工具

此外,还观察到上述Spyder示例与黑客Winnti 4.0特洛伊木马的Worker组件之间存在重叠。

VMware TAU的高级威胁研究员Takahiro Haruyama表示:“在互联网上扫描APT恶意软件C2有时就像在大海捞针一样,然而,一旦C2扫描起作用,它将成为最主动的威胁检测方法之一,从而改变游戏规则。”

 

消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文