研究人员揭露了 80 多台 ShadowPad 恶意软件 C2 服务器

Hackernews 编译，转载请注明出处：

自2021年9月以来，已发现多达85个命令控制（C2）服务器受ShadowPad恶意软件支持，最近于2022年10月16日检测到基础设施。

这是根据VMware的威胁分析小组（TAU）的说法，该小组研究了三种ShadowPad变体，使用TCP、UDP和HTTP（S）协议进行C2通信。

ShadowPad被视为PlugX的继承者，是一个模块化恶意软件平台，自2015年以来由多个中国国家赞助的黑客私下共享。

今年5月初，台湾网络安全公司TeamT5披露了另一个名为Pangolin8RAT的中国nexus模块化植入程序的细节，据信它是PlugX和ShadowPad恶意软件家族的继任者，将其与一个名为“Tianwu”的黑客组织联系起来。

VMware表示，对Winnti，Tonto团队和代号为“Space Pirates”的新兴黑客组织之前使用的三个ShadowPad工件进行了分析，通过扫描一个名为ZMap的工具生成的开放主机列表，可以发现C2服务器。

该公司进一步披露，它发现了与ShadowPad C2 IP地址通信的Spyder和ReverseWindow恶意软件样本，这两者都是APT41（又名Winnti）和LuoYu使用的恶意工具。

此外，还观察到上述Spyder示例与黑客Winnti 4.0特洛伊木马的Worker组件之间存在重叠。

VMware TAU的高级威胁研究员Takahiro Haruyama表示：“在互联网上扫描APT恶意软件C2有时就像在大海捞针一样，然而，一旦C2扫描起作用，它将成为最主动的威胁检测方法之一，从而改变游戏规则。”

消息来源：TheHackerNews，译者：Shirley；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文