Специалисты «Лаборатории Касперского» рассказали об обнаружении бэкдора в популярном серверном ПО NetSarang. Бэкдор ShadowPad был найден в ходе расследования подозрительной активности в корпоративной сети одной финансовой организации. Специалисты этой компании обратились к экспертам «Лаборатории Касперского» за помощью, обнаружив, что в системе, обрабатывающей финансовые транзакции, стали появляться подозрительные DNS-запросы.

Расследование показало, что источником этих запросов является легитимное ПО для управления серверами, которое используется сотнями компаний по всему миру. Но подобные запросы были вовсе не типичны для этого ПО, и этот факт заставил аналитиков изучить программу внимательнее.

DLL с бэкдором в списке модулей Xshell5

Оказалось, что виной всему бэкдор ShadowPad, который неизвестные внедрили в продукцию NetSarang с целью кражи данных из корпоративных сетей крупных компаний. Под угрозой оказались пользователи решений NetSarang из различных областей, многие из них являются организациями из списка Fortune 500. Заражение было обнаружено в составе следующих продуктов:

  • Xmanager Enterprise 5 Build 1232
    exe, Jul 17 2017, 55,08 Мб
    MD5: 0009f4b9972660eeb23ff3a9dccd8d86
    SHA1: 12180ff028c1c38d99e8375dd6d01f47f6711b97
  • Xmanager 5 Build 1045
    exe, Jul 17 2017, 46,2 Мб
    MD5: b69ab19614ef15aa75baf26c869c9cdd
    SHA1: 35c9dae68c129ebb7e7f65511b3a804ddbe4cf1d
  • Xshell 5 Build 1322
    exe, Jul 17 2017, 31,58 Мб
    MD5: b2c302537ce8fbbcff0d45968cc0a826
    SHA1: 7cf07efe04fe0012ed8beaa2dec5420a9b5561d6
  • Xftp 5 Build 1218
    exe, Jul 17 2017, 30,7 Мб
    MD5: 78321ad1deefce193c8172ec982ddad1
    SHA1: 08a67be4a4c5629ac3d12f0fdd1efc20aa4bdb2b
  • Xlpd 5 Build 1220
    exe, Jul 17 2017, 30,22 Мб
    MD5: 28228f337fdbe3ab34316a7132123c49
    SHA1: 3d69fdd4e29ad65799be33ae812fe278b2b2dabe

Обнаружив бэкдор, исследователи незамедлительно сообщили о нем инженерам NetSarang, и те оперативно удалили из своего продукта вредоносный код и уже представили закрывающее уязвимость обновление.

Как показало расследование, подозрительные DNS-запросы исходили от вредоносного модуля, который связывался с командным центром злоумышленников каждые 8 часов. Эти запросы содержали базовую информацию о системе компании-жертвы. В случае если потенциальная жертва представляла интерес для атакующих, с командного сервера поступал ответный запрос, активировавший предварительно загруженную в систему программу-бэкдор, которая в свою очередь могла подгружать и запускать другие вредоносные модули.

Бэкдор запрашивает управляющий сервер

Специалисты пишут, что используемые злоумышленниками техники и инструменты очень похожи на те, что применялись в атаках китайской группировкой WinNTi. Однако полученной информации пока недостаточно для того, чтобы установить четкую связь между этой группой и бэкдором в популярном ПО.

На данный момент бэкдор ShadowPad был активирован в Азиатско-Тихоокеанского регионе. Вместе с тем малварь может оставаться в неактивном состоянии во многих системах, особенно если компании не установили последнее обновление NetSarang и не имеет защитного решения, которое может обнаружить и вычистить вредоносный код.

«ShadowPad – пример того, насколько опасной и масштабной может быть атака на разработчиков программного обеспечения, которым доверяют пользователи во всем мире. С большой вероятностью подобный сценарий будет повторяться вновь и вновь. К счастью, компания NetSarang быстро отреагировала и выпустила жизненно необходимое обновление, предотвратив сотни инцидентов кражи данных, – рассказывает Игорь Суменков, антивирусный эксперт «Лаборатории Касперского». – Атака ShadowPad показала, что сегодня компании обязательно должны использовать продвинутые защитные технологии, которые способны оперативно выявлять аномальную активность в сети и детектировать даже те зловреды, которые злоумышленники спрятали в легальном ПО».

Если по какой-то причине невозможно проверить системы на предмет заражения с помощью специального ПО, специалисты пишут, что можно также обратить внимание на DNS-запросы для следующих доменов:

  • ribotqtonut[.]com
  • nylalobghyhirgh[.]com
  • jkvmdmjyfcvkf[.]com
  • bafyvoruzgjitwr[.]com
  • xmponmzmxkxkh[.]com
  • tczafklirkl[.]com
  • notped[.]com
  • dnsgogle[.]com
  • operatingbox[.]com
  • paniesx[.]com
  • techniciantext[.]com



3 комментария

  1. Skybad

    18.08.2017 at 10:38

    А разработчики в курсе что у них есть бэкдор?

  2. Kadist

    19.08.2017 at 18:05

    Протри глазки! Написано же что выпустили обновление

    • john_

      20.08.2017 at 21:05

      Видимо он не читает посты, а просто тупо пишет комменты… второй раз задаёт глупый вопрос, ответ на который написан в статье))

Оставить мнение