研究人员揭露了超过80个Shadowpad恶意软件C2服务器

自2021年9月以来，已发现多达85台命令和控制( C2 )服务器被ShadowPad恶意软件支持，最近在2022年10月16日检测到基础设施。

根据VMware的威胁分析单元( TAU )，该单元研究了使用TCP、UDP和HTTP ( S )协议进行C2通信的三种ShadowPad变体。

  ShadowPad被视为PlugX的继任者，是一个模块化的恶意软件平台，自2015年以来在多个中国国家赞助的行为者中私下共享。

今年5月早些时候，台湾网络安全公司TeamT5披露了另一个被认为是PlugX和ShadowPad恶意软件家族继承者的”中国-新”模块化植入物Pangolin8RAT的细节，将其与一个名为”天武”的威胁集团联系在一起。

 VMware表示，对Winnti、Tonto Team和新出现的代号为Space Pirates的威胁群集使用的三个ShadowPad工件进行分析后，可以通过扫描工具ZMap生成的开放主机列表来发现C2服务器。

该公司进一步披露，它发现了与ShadowPad C2IP地址通信的Spyder和Reverse Windows恶意软件样本，它们都是APT41 (又名Winnti )和罗宇使用的恶意工具。

此外，还观察到上述Spyder示例与威胁行为者Winnti 4.0特洛伊木马的Worker组件之间存在重叠。

  VMware TAU高级威胁研究员Takahiro Haruyama说，在互联网上扫描APT恶意软件C2有时就像在大海捞针。然而，一旦C2扫描工作，它就可以成为一个游戏改变者，作为最积极的威胁检测方法之一。