Huis > Cyber ​​Nieuws > NetSarang Apps Riddled with ShadowPad Backdoor
CYBER NEWS

NetSarang Apps doorzeefd met ShadowPad Backdoor

image ShadowPad Backdoor

Beveiliging onderzoekers ontdekten dat veel connectivity producten gemaakt door NetSarang zijn besmet met de ShadowPad backdoor. Dit werd gedaan in een hacker aanval waardoor de criminelen binnen te dringen in servers van het bedrijf en plaats kwaadaardige installateurs in de plaats van de legitieme bestanden.

Verwante Story: Interne netwerken getroffen door zichzelf voortplantende Emotet Trojan

NetSarang producten besmet zijn met het ShadowPad Backdoor

NetSarang, een van de bekende software-ontwikkelaars van connectivity-oplossingen, is gevonden om gevaarlijke malware besmet installateurs van hun producten zijn voorzien van. De security incident werd gemeld door een cybersecurity bedrijf dat de analyse die na een zorgvuldige beoordeling van de aanvragen gedownload van hun officiële website. De ontdekking werd gedaan na een van de klanten van de leverancier een verdachte DNS-aanvraag afkomstig van een geïnstalleerd softwarepakket op hun eigen netwerk merkte. Uit het onderzoek blijkt dat een aantal producten van het bedrijf zijn gecompromitteerd: Xmanager Enterprise 5 (bouwen 1232), Xmanager 5 (bouwen 1045), Xshell 5 (bouwen 1322), XFTP 5 (bouwen 1218) en Xlpd 5 (bouwen 1220).

De security experts en de onderzoekers zijn van mening dat de criminelen achter de infecties in staat zijn om toegang te krijgen tot de download servers en de broncode van de build diensten wijzigen of te vervangen de installateurs met hun eigen versies zijn geweest. De schadelijke bestanden zijn uitgebracht op juli 18 terwijl de ontdekking enkele weken later werd gemaakt op augustus 4. Kaspersky Labs blijkt dat de malware alleen op systemen die eigendom zijn van een bedrijf in Hong Kong, wat erop wijst dat het virus code kan worden gebruikt tegen doelen werd alleen geactiveerd. Het is mogelijk dat andere bedrijven zijn getroffen door de malware ook. Gelukkig is de anti-virus bedrijven nu gewaarschuwd voor de dreiging is het gemakkelijk om zowel actieve als latente infecties te verwijderen.

Verwante Story: Large-Scale Mamba Ransomware Aanvallen op de Rise Again

Impact van de ShadowPad Backdoor

De ShadowPad achterdeur is een modulair malware die is ontworpen om de slachtoffers te infecteren in twee fasen:

  1. De eerste trap sluit de commandoregelcode een rechtmatig proces genaamd “nssock2.dll”. Dit initieert de netwerkverbinding naar de hacker gecontroleerde C&C-servers. Durign dit stadium gevoelige informatie wordt verzameld van het slachtoffer computer en wordt doorgegeven aan de criminelen.
  2. De volgende stap bestaat erin samen de ingebouwde ShadowPad achterdeur engine. De verzamelde monsters hebben de mogelijkheid om vijf verschillende modules, dat een modulaire architectuur activeren. Dit betekent dat het mogelijk is om extra plugins geladen als nodig.

Alle netwerkverbindingen zijn versleuteld met een private sleutel die het erg moeilijk maken voor beheerders om infecties op hun netwerken te ontdekken. Aangezien dit is een geavanceerde backdoor laat het de criminelen om verschillende kwaadaardige acties uit te voeren op de besmette machines:

  • informatie Oogsten - Op verzoek van de hackers kan een data harvesting proces dat in staat is om een ​​lijst van alle hardware componenten downloaden te starten, softwareconfiguratiebestanden of gebruikersgegevens. Dit omvat de volgende: data en tijd, Geheugenstatus, CPU-frequentie, vrije schijfruimte, videomodus, systeem landinstellingen, PID van de processen, versie van het besturingssysteem, gebruikersnamen en domeinnaam.
  • DNS Module - ShadowPad backdoor is in staat om te communiceren met de C&C configureren met de DNS protocol.
  • gegevens Hijacking - De ShadowPad backdoor is in staat om gevoelige bestanden van gebruikers te stelen van de gecompromitteerde machines. Wanneer privégegevens wordt gekaapt van de slachtoffers van de verstrekte informatie kan worden gebruikt voor criminele doeleinden, zoals financiële misbruik of diefstal van identiteit.
  • virusinfecties - De backdoor kan worden gebruikt als een payload druppelaar voor andere bedreigingen. Infecties met het kan leiden tot gevaarlijke infecties.
  • Network Voortplanting - De besturingsmogelijkheden afstandsbediening kan de hackers andere hosts op hetzelfde netwerk te infecteren door misbruik gevonden gebreken.

Als gevolg van de achterdeur kan de hackers malware bestanden te uploaden naar de getroffen klanten en bindt het aan het runnen van processen of nieuwe onderwerpen. Dit alles kan worden gedaan in een VFS (virtueel bestandssysteem) die is opgenomen in het Windows-register. Dankzij de encryptie module de malware acties niet doeltreffend kan worden ontdekt door de meeste anti-virus utilities. Dit is de reden waarom raden we het gebruik van een kwaliteit anti-spyware product dat in staat is om effectief detecteren inkomende monsters en verwijderen van actieve infecties met een paar muisklikken.

Download

Malware Removal Tool


Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter

Martin Beltov

Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...