Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Etude de la backdoor APT ShadowPad et ses liens avec PlugX

le 27 octobre 2020

Introduction

En Juillet 2020, nous avons publié une étude sur des attaques APT ayant ciblé des établissements gouvernementaux au Kazakhstan et au Kirghizistan, avec une analyse détaillée des logiciels malveillants trouvés dans les réseaux compromis. Dans le cadre de cette étude, les analystes de Doctor Web ont analysé et décrit quelques groupes de Trojans, notamment des exemplaires de la famille XPath. Nous avons également réussi à trouver un certain nombre de signes ayant permis de relier deux incidents qui semblaient indépendants l’un de l’autre à première vue. Dans les deux cas, les pirates ont utilisé des jeux de logiciels malveillants similaires, notamment les mêmes backdoors par lesquelles les contrôleurs de domaines dans les établissements touchés ont été contaminés.

Lors de l'examen, les analystes ont étudié des échantillons des backdoors multi-modulaires PlugX utilisés pour pénétrer dans l'infrastructure réseau. L'analyse a montré que certaines modifications de PlugX ont exploité les mêmes noms de domaine des serveurs de gestion que les autres backdoors déjà examinées et impliquées dans des attaques ciblées sur des bureaux en Asie centrale. La détection des programmes de la famille PlugX montre un éventuel rapport avec les incidents liés aux groupes APT chinois.

Selon nos informations, la présence non autorisée dans les deux réseaux a duré plus de trois ans, et les attaques ont pu être organisées par plusieurs groupes de pirates. Les enquêtes sur de tels incidents nécessitent un examen continu et assez long, il est donc difficile de les résumer dans le cadre d'une seule publication.

Le laboratoire viral de Doctor Web a reçu de nouveaux échantillons de logiciels malveillants détectés dans le réseau informatique d’une des institutions publiques infectés au Kirghizistan.

En plus des malwares décrits dans notre article précédent, le programme malveillant qui mérite une attention particulière est la porte dérobée ShadowPad. Diverses modifications de cette famille sont connus comme un outil de Winnti - un groupe APT probablement d'origine chinoise, actif depuis au moins 2012. Il est à noter que sur l'ordinateur examiné, la backdoor ShadowPad a été installée en parallèle avec la backdoor Farfli Farfli, les deux programmes malveillants consultant le même serveur de gestion. Sur le même ordinateur, nous avons trouvé quelques modifications de PlugX.

Dans cette étude, nous avons examiné les algorithmes des backdoors détectées. Une attention particulière est accordée aux similitudes dans le code des échantillons de ShadowPad et PlugX, ainsi qu’à certains points communs dans leur infrastructure réseau.

Liste des programmes malveillants détectés

Sur l'ordinateur contaminé les backdoors suivantes ont été détectées :

Hachages SHA256 Détection Serveur gérant Date d'installation
ac6938e03f2a076152ee4ce23a39a0bfcd676e4f0b031574d442b6e2df532646 BackDoor.ShadowPad.1 www[.]pneword[.]net 07.09.2018 13:14:57.664
9135cdfd09a08435d344cf4470335e6d5577e250c2f00017aa3ab7a9be3756b3
2c4bab3df593ba1d36894e3d911de51d76972b6504d94be22d659cff1325822e
BackDoor.Farfli.122
BackDoor.Farfli.125
www[.]pneword[.]net 03.11.2017 09:06:07.646
3ff98ed63e3612e56be10e0c22b26fc1069f85852ea1c0b306e4c6a8447c546a (Téléchargeur DLL)
b8a13c2a4e09e04487309ef10e4a8825d08e2cd4112846b3ebda17e013c97339 (Module principal)
BackDoor.PlugX.47
BackDoor.PlugX.48
www[.]mongolv[.]com 29.12.2016 14:57:00.526
32e95d80f96dae768a82305be974202f1ac8fcbcb985e3543f29797396454bd1 (Téléchargeur DLL)
b8a13c2a4e09e04487309ef10e4a8825d08e2cd4112846b3ebda17e013c97339 (Module principal)
BackDoor.PlugX.47
BackDoor.PlugX.48
www[.]arestc[.]net 23.03.2018 13:06:01.444
b8a13c2a4e09e04487309ef10e4a8825d08e2cd4112846b3ebda17e013c97339 (Module principal) BackDoor.PlugX.48 www[.]icefirebest[.]com 03.12.2018 14:12:24.111

Pour de plus amples recherches, nous avons trouvé et analysé d'autres échantillons de la famille ShadowPad, pour examiner de plus près la similitude des backdoors des familles ShadowPad et PlugX:

  • BackDoor.ShadowPad.3,
  • BackDoor.ShadowPad.4 - modification de ShadowPad qui se trouvait dans un dropper auto-extractible WinRAR et qui téléchargeait un module non caractéristique de cette famille sous forme d'une bibliothèque DLL.

L'examen détaillé des échantillons de ShadowPad et leur comparaison avec les modifications précédemment étudiées de PlugX montre une forte similitude des principes de structures modulaires et des fonctionnements des backdoors des deux familles. Ces logiciels malveillants se ressemblent non seulement par leur concept global, mais également par des nuances dans leur code : certains techniques de développement, des idées et des solutions techniques sont quasiment identiques. Un fait important est que les deux portes dérobées se trouvaient dans le même réseau compromis d'une institution publique au Kirghizistan.

Vous trouverez des descriptions techniques détaillées des programmes malveillants détectés dans une version PDF de notre étude ainsi que dans la bibliothèque de virus Dr.Web.

Conclusion

Les données disponibles nous ont permis de conclure que les familles en question sont reliées entre elles. On peut suggérer qu’il s’agirait d’une simple copie d’un code et/ou envisager le fait que les deux malwares ont été développés par un même auteur ou par un même groupe d'auteurs. Dans le deuxième cas, il nous semble hautement probable qu'il y ait une évolution de PlugX vers une version renouvelée et modernisée de ShadowPad compte tenu du fait que le format de stockage des modules malveillants utilisés dans ce dernier empêche leur détection dans la mémoire vive.

Indicateurs de compromission

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web
Expérience dans le développement depuis 1992
Les internautes dans plus de 200 pays utilisent Dr.Web
L'antivirus est fourni en tant que service depuis 2007
Support 24/24

Dr.Web © Doctor Web
2003 — 2020

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg