Специалисты «Лаборатории Касперского» рассказали об обнаружении бэкдора в популярном серверном ПО NetSarang. Бэкдор ShadowPad был найден в ходе расследования подозрительной активности в корпоративной сети одной финансовой организации. Специалисты этой компании обратились к экспертам «Лаборатории Касперского» за помощью, обнаружив, что в системе, обрабатывающей финансовые транзакции, стали появляться подозрительные DNS-запросы.

Расследование показало, что источником этих запросов является легитимное ПО для управления серверами, которое используется сотнями компаний по всему миру. Но подобные запросы были вовсе не типичны для этого ПО, и этот факт заставил аналитиков изучить программу внимательнее.

В продуктах компании NetSarang обнаружен бэкдор ShadowPad
DLL с бэкдором в списке модулей Xshell5

Оказалось, что виной всему бэкдор ShadowPad, который неизвестные внедрили в продукцию NetSarang с целью кражи данных из корпоративных сетей крупных компаний. Под угрозой оказались пользователи решений NetSarang из различных областей, многие из них являются организациями из списка Fortune 500. Заражение было обнаружено в составе следующих продуктов:

  • Xmanager Enterprise 5 Build 1232

    exe, Jul 17 2017, 55,08 Мб

    MD5: 0009f4b9972660eeb23ff3a9dccd8d86

    SHA1: 12180ff028c1c38d99e8375dd6d01f47f6711b97

  • Xmanager 5 Build 1045

    exe, Jul 17 2017, 46,2 Мб

    MD5: b69ab19614ef15aa75baf26c869c9cdd

    SHA1: 35c9dae68c129ebb7e7f65511b3a804ddbe4cf1d

  • Xshell 5 Build 1322

    exe, Jul 17 2017, 31,58 Мб

    MD5: b2c302537ce8fbbcff0d45968cc0a826

    SHA1: 7cf07efe04fe0012ed8beaa2dec5420a9b5561d6

  • Xftp 5 Build 1218

    exe, Jul 17 2017, 30,7 Мб

    MD5: 78321ad1deefce193c8172ec982ddad1

    SHA1: 08a67be4a4c5629ac3d12f0fdd1efc20aa4bdb2b

  • Xlpd 5 Build 1220

    exe, Jul 17 2017, 30,22 Мб

    MD5: 28228f337fdbe3ab34316a7132123c49

    SHA1: 3d69fdd4e29ad65799be33ae812fe278b2b2dabe

Обнаружив бэкдор, исследователи незамедлительно сообщили о нем инженерам NetSarang, и те оперативно удалили из своего продукта вредоносный код и уже представили закрывающее уязвимость обновление.

Как показало расследование, подозрительные DNS-запросы исходили от вредоносного модуля, который связывался с командным центром злоумышленников каждые 8 часов. Эти запросы содержали базовую информацию о системе компании-жертвы. В случае если потенциальная жертва представляла интерес для атакующих, с командного сервера поступал ответный запрос, активировавший предварительно загруженную в систему программу-бэкдор, которая в свою очередь могла подгружать и запускать другие вредоносные модули.

В продуктах компании NetSarang обнаружен бэкдор ShadowPad
Бэкдор запрашивает управляющий сервер

Специалисты пишут, что используемые злоумышленниками техники и инструменты очень похожи на те, что применялись в атаках китайской группировкой WinNTi. Однако полученной информации пока недостаточно для того, чтобы установить четкую связь между этой группой и бэкдором в популярном ПО.

На данный момент бэкдор ShadowPad был активирован в Азиатско-Тихоокеанского регионе. Вместе с тем малварь может оставаться в неактивном состоянии во многих системах, особенно если компании не установили последнее обновление NetSarang и не имеет защитного решения, которое может обнаружить и вычистить вредоносный код.

«ShadowPad – пример того, насколько опасной и масштабной может быть атака на разработчиков программного обеспечения, которым доверяют пользователи во всем мире. С большой вероятностью подобный сценарий будет повторяться вновь и вновь. К счастью, компания NetSarang быстро отреагировала и выпустила жизненно необходимое обновление, предотвратив сотни инцидентов кражи данных, – рассказывает Игорь Суменков, антивирусный эксперт «Лаборатории Касперского». – Атака ShadowPad показала, что сегодня компании обязательно должны использовать продвинутые защитные технологии, которые способны оперативно выявлять аномальную активность в сети и детектировать даже те зловреды, которые злоумышленники спрятали в легальном ПО».

Если по какой-то причине невозможно проверить системы на предмет заражения с помощью специального ПО, специалисты пишут, что можно также обратить внимание на DNS-запросы для следующих доменов:

  • ribotqtonut[.]com
  • nylalobghyhirgh[.]com
  • jkvmdmjyfcvkf[.]com
  • bafyvoruzgjitwr[.]com
  • xmponmzmxkxkh[.]com
  • tczafklirkl[.]com
  • notped[.]com
  • dnsgogle[.]com
  • operatingbox[.]com
  • paniesx[.]com
  • techniciantext[.]com