安全研究人員在美國與南韓公司 NetSarang 的伺服器管理產品內發現強大的後門程式:ShadowPad(趨勢科技偵測為BKDR_SHADOWPAD.A),它能夠下載並執行其他惡意軟體及竊取資料。
受影響的組織包括金融機構、能源和製藥等產業
NetSarang產品包括管理網路、伺服器和系統管理工作站的軟體。受影響的組織包括了金融機構(如銀行)、能源和製藥等產業。
根據研究人員的分析,ShadowPad每隔8小時連到攻擊者所控制的特定網域來傳送中毒系統上的資料。它也被設計成會每月連到不同的網域。如果傳送給攻擊者的資料引起興趣,則命令與控制(C&C)伺服器會去觸發後門程式來送入更多的惡意程式。
ShadowPad的惡意程式碼被注入到一個動態連結函式庫(DLL)檔案nssock2.dll,在7月17日出現在NetSarang網站上,至今仍未被發現。另外值得注意的是ShadowPad的隱蔽程度,包括了加密層數,並且具備分級機制來阻止後門程式啟動,除非C&C伺服器發送特定封包到中毒系統。
NetSarang已經承認了此一事件,並且開始實施對策,他們告訴Ars Technica:“我們建立了一個全新且獨立的基礎設施網路,所有要被放入此新基礎設施網路的設備都會先重新格式化。接著接受檢查,加入白名單,再逐次加入新的基礎設施網路。這過程將需要經歷幾個星期的時間,但我們需要確保這樣的入侵事件不會再在NetSarang發生。“
合法軟體被惡意濫用不止一樁:
會計軟體被利用散佈Petya勒索病毒,Mac勒索病毒內嵌到BitTorrent客戶端 繼續閱讀
