0xNews - 중국 스파이 그룹에서 많이 사용하고 있는 ShadowPad 맬웨어

SentinelLabs 발표

윈도우용 백도어 ShadowPad 를 통해 2017년 이후 중국 스파이 그룹 5개 이상에서 사용되는 것으로 확인

공격자가 ShadowPad 를 통해서 공격자는 개발이나 유지 관리 비용이 크게 절감

다른 스파이 그룹도 이 ShadowPad 에 대한 접속과 개발 권한을 얻은 후 자체 백도어 개발 중단

일부 미국 보안 회사는 ShadowPad 분석을 통해 현존하는 중국 스파이 웨어 중 판매되는 것 중 최대 걸작으로 평가

2015년 PlugX 의 모듈형 악성코드 플랫폼의 성공으로 인해 다양한 플랫폼형 공격 모듈, 맬웨어 개발

ShadowPad 는 이전 넷사랑, CCleaner, ASUS 등 사용하는 고급 탐지와 지속적인 기술 발전을 통해 스스로 방어 레벨을 올릴 수 있도록 설계

ShadowPad 와 관련된 최근 공격은 홍콩, 인도, 파키스탄과 기타 중앙 아시아 국가의 국가 기관 등을 대상

주로 APT41 에서 공격한 것으로 판단

핵심 공격 임플란트는 Tick, RedEcho, RedFoxtrot, Operation Redbonus, Redkanku, Fishmonger 등으로 명명된 클러스터와 같은 여러 중국 스파이 그룹 사이에 공유되고 사용된 것으로 확인

Fishmonger 배후의 공격자는 현재 이 백도어와 Spyder 라는 또 다른 백도어를 장기 모니터링을 위한 기본 백도어로 사용

FunnySwitch, BIOPASS RAT, Cobalt Strike 등을 포함한 초기 감염을 위한 다른 1단계 백도어를 배포

현재까지 확인 결과 홍콩, 대만, 인도, 미국 등의 COVID-19 연구 중인 대학, 정부 기관, 미디어 회사, 기술 회사, 의료 기관 등을 대상으로 공격 수행 확인

맬웨어는 C2 command-and-control 서버에서 추가 플러그인을 동적으로 배포

이 외 실행 중인 다른 임베디드 모듈을 로드하는 메모리에서 루트 플러그인 해독하고 로드

공격자가 추가 기능을 통합할 수 있도록 함

기본적으로 맬웨어에 내장되어 있지 않음

맬웨어 설치 후 다운로드 후 C2 서버와 통신하여 위 시나리오로 실행 대기

현재까지 최소 22개 고유 플러그인이 식별

감염된 시스템은 백도어 통신, C2 인프라 업데이트, 플러그인 관리에 사용되는 델파이 Delphi 기반 컨트롤러에 의해 통제

ShadowPad 사용자가 사용할 수 있는 기능 세트는 판매자가 엄격하게 제어 중인 것으로 확인

각 플러그인은 모든 모듈을 포함하는 전체 번들을 제공하는 대신 별도로 판매

대부분 샘플 약 100개 중 9개 정도 포함

비공개 판매되고 잘 개발되어 기능적인 백도어인 ShadowPad

이를 활용한 공격자는 자체 개발 백도어를 점점 버리는 추세로 확인

openLab