Investigación del backdoor APT, ShadowPad, y sus vínculos a PlugX

27 de octubre de 2020

Introducción

En julio del año 2020 publicamos una investigación de ataques APT a entidades públicas de Kazajistán y Kirguisia con un análisis detallado del malware detectado en las redes comprometidas. Durante la investigación, los analistas de virus de Doctor Web analizaron y describieron varios grupos de programas troyanos, incluidos los representantes tanto de las familias ya conocidas para los expertos como los troyanos anteriormente desconocidos, de los cuales la novedad más importante fueron las muestras de la familia XPath. También hemos detectado un conjunto de características que permitieron vincular dos incidentes inicialmente autónomos. En ambos casos los malintencionados usaron conjuntos similares del malware, así mismo, los mismos backdoors especializados con los cuales fueron infectados los controladores del dominio en las entidades atacadas.

Durante el peritaje los analistas analizaron las muestras del backdoor multimódulo PlugX aplicados para la penetración primaria en la infraestructura de red. El análisis demostró que algunas modificaciones de PlugX usaron los mismos nombres de dominio de servidores de control que los demás backdoors investigados por nosotros, vinculados a los ataques objetivo a las entidades de Asia Central. Así mismo, la detección de los programas de la familia PlugX significa la posible participación de los grupos chinos APT en los incidentes en cuestión.

Según nuestros datos, la presencia no autorizada en ambas redes continuaba durante más de tres años, y varios grupos de hackers a la vez podían dedicarse a los ataques. Las investigaciones de los ciber incidentes tan complejos requieren trabajo de mucho tiempo, por lo tanto, pocas veces basta con una sola publicación para informar de los mismos.

El laboratorio de virus de Doctor Web recibió nuevas muestras del malware detectado en uno de los equipos infectados de la red local de la entidad pública de Kirguisia.

Además del malware ya descrito en el material anterior, cabe destacar el backdoor ShadowPad. Varias modificaciones de esta familia son una herramienta conocida de Winnti — un grupo APT, supuestamente, de procedencia china, activa como mínimo desde el año 2012. Cabe destacar que en el equipo, junto con ShadowPad, también fue instalado el backdoor Farfli, así mismo, ambos programas contactaban al mismo servidor de control. Además, en el mismo equipo detectamos varias modificaciones de PlugX.

En esta investigación hemos analizado los algoritmos de funcionamiento de los backdoors detectados. Prestamos especial atención a las similitudes del código de muestras ShadowPad y PlugX, así como a algunas similitudes de su infraestructura de red.

Lista del malware detectado

En el equipo infectado fueron detectados los backdoors siguientes:

Hashes SHA256	Detección	Servidor de control	Fecha de instalación
ac6938e03f2a076152ee4ce23a39a0bfcd676e4f0b031574d442b6e2df532646	BackDoor.ShadowPad.1	www[.]pneword[.]net	07.09.2018 13:14:57.664
9135cdfd09a08435d344cf4470335e6d5577e250c2f00017aa3ab7a9be3756b3 2c4bab3df593ba1d36894e3d911de51d76972b6504d94be22d659cff1325822e	BackDoor.Farfli.122 BackDoor.Farfli.125	www[.]pneword[.]net	03.11.2017 09:06:07.646
3ff98ed63e3612e56be10e0c22b26fc1069f85852ea1c0b306e4c6a8447c546a (cargador DLL) b8a13c2a4e09e04487309ef10e4a8825d08e2cd4112846b3ebda17e013c97339 (módulo básico)	BackDoor.PlugX.47 BackDoor.PlugX.48	www[.]mongolv[.]com	29.12.2016 14:57:00.526
32e95d80f96dae768a82305be974202f1ac8fcbcb985e3543f29797396454bd1 (cargador DLL) b8a13c2a4e09e04487309ef10e4a8825d08e2cd4112846b3ebda17e013c97339 (módulo básico)	BackDoor.PlugX.47 BackDoor.PlugX.48	www[.]arestc[.]net	23.03.2018 13:06:01.444
b8a13c2a4e09e04487309ef10e4a8825d08e2cd4112846b3ebda17e013c97339 (módulo básico)	BackDoor.PlugX.48	www[.]icefirebest[.]com	03.12.2018 14:12:24.111

Para la posterior investigación, detectamos y analizamos otras muestras de la familia ShadowPad, para ver con más detalle las similitudes de los backdoors de las familias ShadowPad y PlugX:

BackDoor.ShadowPad.3,
BackDoor.ShadowPad.4 — modificación de ShadowPad que formaba parte de un dropper WinRAR de descompresión automática y cargaba un módulo no típico para esta familia, una biblioteca DLL.

La investigación detallada de las muestras ShadowPad y su comparación a las modificaciones de PlugX anteriormente analizadas por nosotros indica una alta similitud de principios de funcionamiento y de estructuras modulares de backdoors de ambas familias. Estos representantes de malware tienen en común no solo la concepción general, sino los detalles del código: algunas características de desarrollo, las ideas y las soluciones técnicas son casi idénticas. Un factor importante es que ambos backdoors estaban en la red comprometida de una entidad pública de Kirguisia.

Las descripciones técnicas detalladas del malware detectado pueden consultarse en la versión PDF de la investigación y en la biblioteca de virus Dr.Web.

Conclusión

Los datos existentes nos permiten sacar conclusiones sobre los vínculos de estas familias, así mismo, es posible tanto el simple uso del código existente, como el desarrollo de ambos programas por el mismo autor o un grupo de autores. En el segundo caso, es muy probable la evolución de PlugX hasta ShadowPad más nuevo y perfecto, porque el formato de almacenamiento de los módulos maliciosos aplicado en el último dificulta muchas veces la posibilidad de su detección en la memoria operativa.

Indicadores del compromiso

Valore

To vote, log in under your account or create an account if you don't have one yet.

Comparta

Haga clic sobre "Me gusta"

¿Qué ventajas ofrece la cuenta?

Nos importa su opinión

Para hacer una pregunta sobre la noticia para la administración del sitio web, indique al principio de su comentario @admin. Si su pregunta es para el autor de algún comentario - indique @ antes de escribir su nombre.