Cybersecurity-Forscher haben das Innenleben von ShadowPad, einer ausgeklügelten und modularen Hintertür, die in den letzten Jahren von immer mehr chinesischen Bedrohungsgruppen übernommen wurde, detailliert beschrieben und sie mit den zivilen und militärischen Geheimdiensten des Landes in Verbindung gebracht.
„ShadowPad wird im Speicher mit einem eigenen Entschlüsselungsalgorithmus entschlüsselt“, so die Forscher von Secureworks in einem Bericht, der The Hacker News vorliegt. „ShadowPad extrahiert Informationen über den Host, führt Befehle aus, interagiert mit dem Dateisystem und der Registry und setzt neue Module ein, um die Funktionalität zu erweitern.
ShadowPad ist eine modulare Malware-Plattform, die deutliche Überschneidungen mit der PlugX-Malware aufweist und in viel beachteten Angriffen gegen NetSarang, CCleaner und ASUS eingesetzt wurde, was die Betreiber dazu veranlasste, ihre Taktik zu ändern und ihre Abwehrmaßnahmen zu aktualisieren.
Während die ersten Kampagnen, die ShadowPad verbreiteten, einem Bedrohungscluster mit dem Namen Bronze Atlas alias Barium zugeschrieben wurden – chinesische Staatsangehörige, die für ein Netzwerksicherheitsunternehmen namens Chengdu 404 arbeiten -, wurde es nach 2019 von mehreren chinesischen Bedrohungsgruppen verwendet.
In einem detaillierten Überblick über die Malware im August 2021 bezeichnete das Cybersecurity-Unternehmen SentinelOne ShadowPad als „Meisterwerk der privat verkauften Malware in der chinesischen Spionage“. Eine spätere Analyse von PwC im Dezember 2021 enthüllte einen maßgeschneiderten Packmechanismus namens ScatterBee, der verwendet wird, um bösartige 32-Bit- und 64-Bit-Payloads für ShadowPad-Binaries zu verschleiern.
Die Malware-Nutzdaten werden traditionell entweder verschlüsselt in einem DLL-Loader oder eingebettet in eine separate Datei zusammen mit einem DLL-Loader auf einem Host bereitgestellt, der dann die eingebettete ShadowPad-Nutzdaten mit einem auf die Malware-Version zugeschnittenen Entschlüsselungsalgorithmus entschlüsselt und im Speicher ausführt.
Diese DLL-Loader führen die Malware aus, nachdem sie von einer legitimen ausführbaren Datei, die für DLL-Suchreihenfolge-Hijacking anfällig ist, zur Seite geladen wurden.
Ausgewählte Infektionsketten, die von Secureworks beobachtet wurden, beinhalten auch eine dritte Datei, die die verschlüsselte ShadowPad-Nutzlast enthält. Diese funktioniert, indem die legitime Binärdatei (z. B. BDReinit.exe oder Oleview.exe) ausgeführt wird, um die DLL nachzuladen, die wiederum die dritte Datei lädt und entschlüsselt.
Alternativ hat der Bedrohungsakteur die DLL-Datei im Windows System32-Verzeichnis platziert, damit sie vom Remotedesktopkonfigurationsdienst (SessionEnv) geladen wird, was letztendlich zur Verbreitung von Cobalt Strike auf den infizierten Systemen führt.
In einem Fall von ShadowPad ebneten die Eindringlinge den Weg für Hands-on-Keyboard-Angriffe, d. h. Angriffe, bei denen sich menschliche Hacker manuell in ein infiziertes System einloggen, um selbst Befehle auszuführen, anstatt automatische Skripte zu verwenden.
Darüber hinaus hat Secureworks verschiedene ShadowPad-Aktivitätscluster, darunter Bronze Geneva (auch bekannt als Hellsing), Bronze Butler (auch bekannt als Tick) und Bronze Huntley (auch bekannt als Tonto Team), chinesischen nationalstaatlichen Gruppen zugeordnet, die mit der People’s Liberation Army Strategic Support Force (PLASSF) zusammenarbeiten.
„Beweise […] deuten darauf hin, dass ShadowPad von der MSS nahestehenden Bedrohungsgruppen sowie von der PLA nahestehenden Bedrohungsgruppen, die im Auftrag der regionalen Theaterkommandos operieren, eingesetzt wurde“, so die Forscher. „Die Malware wurde wahrscheinlich von Bedrohungsakteuren entwickelt, die mit Bronze Atlas verbunden sind, und dann um 2019 mit MSS- und PLA-Bedrohungsgruppen geteilt.