【別名】

名称	備考
ShadowPad
PoisonPlug

【概要】

■使用組織

ATT&CK ID	使用組織名	備考
G0060	Tick / BRONZE BUTLER
G0081	Tropic Trooper
G0096	Axiom / Winnti / APT41
G0131	Tonto Team
G1006	Earth Lusca
	RedEcho

【辞書】

◆ShadowPad (IBM X-Force)
https://exchange.xforce.ibmcloud.com/collection/3c3bc76398ba317d0d6331d8a5d4b193

◆ShadowPad (Malpedia)
https://malpedia.caad.fkie.fraunhofer.de/details/win.shadowpad

【ニュース】

■2017年

◆正規のソフトウェアアップデートにマルウェア、法人顧客に配信 (ITmedia, 2017/08/16 09:30)

韓国のNetSarang Computerが顧客向けに配信したソフトウェアパッケージに何者かが改ざんを施し、マルウェアが仕込まれていたことが分かった

https://www.itmedia.co.jp/enterprise/articles/1708/16/news044.html
⇒ https://malware-log.hatenablog.com/entry/2017/08/16/000000_9

◆サーバ管理ツールにバックドア--香港で被害発生 (ZDNet, 2017/08/16 13:44)
https://japan.zdnet.com/article/35105852/
⇒ https://malware-log.hatenablog.com/entry/2017/08/16/000000_10

◆‘ShadowPad’ attack sabotaged NetSarang software with backdoor (SCmagazine, 2017/08/17)
https://www.scmagazine.com/home/security-news/malware/shadowpad-attack-sabotaged-netsarang-software-with-backdoor/
⇒ https://malware-log.hatenablog.com/entry/2017/08/17/000000_7

◆カスペルスキー、正規ソフトのアップデートにバックドアを仕込んだ「ShadowPad」を発見 (日経新聞, 2017/08/18 11:25)
https://www.nikkei.com/article/DGXLRSP454208_Y7A810C1000000/
⇒ https://malware-log.hatenablog.com/entry/2017/08/18/000000_10

◆韓NetSarang製サーバ管理ツールのアップデートにバックドア - 「PlugX」との類似点も (Security NEXT, 2017/08/18)
http://www.security-next.com/084904
⇒ https://malware-log.hatenablog.com/entry/2017/08/18/000000_9

■2018年

◆標的型攻撃に使われたCCleaner、マルウェアの混入経緯が判明--Avast (ZDNet, 2018/04/18 17:21)
https://japan.zdnet.com/article/35117973/
⇒ https://malware-log.hatenablog.com/entry/2018/04/18/000000_5

■2021年

◆中国に関係するグループRedEchoがインドの電力セクターを標的に (ZDNet, 2021/03/01 11:39)
https://japan.zdnet.com/release/30524230/
⇒ https://malware-log.hatenablog.com/entry/2021/03/01/000000_4

■2022年

◆Cyberspies drop new infostealer malware on govt networks in Asia (BleepingComputer, 2022/09/13 06:00)
[アジアの政府機関ネットワークに新たな情報窃取マルウェアが出現]
https://www.bleepingcomputer.com/news/security/cyberspies-drop-new-infostealer-malware-on-govt-networks-in-asia/
⇒ https://malware-log.hatenablog.com/entry/2022/09/13/000000_2

【ブログ】

◆ShadowPad in corporate networks (SecureList(Kaspersky), 2017/08/15)

Popular server management software hit in supply chain attack

https://securelist.com/shadowpad-in-corporate-networks/81432/
⇒ https://malware-log.hatenablog.com/entry/2017/08/15/000000_4

◆China-linked Group RedEcho Targets the Indian Power Sector Amid Heightened Border Tensions (Recoded Future, 2021/02/28)
[国境線の緊張が高まる中、中国系グループ「レッドエコー」がインドの電力セクターを標的に]
https://www.recordedfuture.com/redecho-targeting-indian-power-sector
https://go.recordedfuture.com/redecho-insikt-group-report
⇒ https://malware-log.hatenablog.com/entry/2021/02/28/000000_3

【公開情報】

◆Kaspersky Labのグローバル調査分析チーム、ShadowPadの発見でVirus Bulletin 2018で表彰 (Kaspersky, 2018/10/23)

～最大規模のサプライチェーン攻撃の発見と解析が評価され、Péter SzőrアワードのTechnical Security Research賞を受賞～

https://www.kaspersky.co.jp/about/press-releases/2018_vir23102018
⇒ https://malware-log.hatenablog.com/entry/2018/10/23/000000_4

【資料】

◆ShadowPad: popular server management software hit in supply chain attack Part 2: Technical Details (Kaspersky, 2017/08/15)
https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2017/08/07172148/ShadowPad_technical_description_PDF.pdf
⇒ https://malware-log.hatenablog.com/entry/2017/08/15/000000_7

◆ShadowPad: new activity from the Winnti group (PTSecurity, 2020/09/08)
https://www.ptsecurity.com/upload/corporate/ww-en/pt-esc/winnti-2020-eng.pdf
⇒ https://malware-log.hatenablog.com/entry/2020/09/08/000000_8

【検索】

■Google

google: ShadowPad
google: PoisonPlug

google:news: ShadowPad
google:news: PoisonPlug

google: site:virustotal.com ShadowPad
google: site:virustotal.com PoisonPlug

google: site:github.com ShadowPad
google: site:github.com PoisonPlug

■Bing

https://www.bing.com/search?q=ShadowPad
https://www.bing.com/search?q=PoisonPlug

https://www.bing.com/news/search?q=ShadowPad
https://www.bing.com/news/search?q=PoisonPlug

■Twitter

https://twitter.com/search?q=%23ShadowPad
https://twitter.com/search?q=%23PoisonPlug

https://twitter.com/hashtag/ShadowPad
https://twitter.com/hashtag/PoisonPlug

【関連まとめ記事】

◆全体まとめ
　◆マルウェア / Malware (まとめ)

◆標的型攻撃マルウェア (まとめ)
https://malware-log.hatenablog.com/entry/APT_Malware

【インディケータ情報】

■ハッシュ情報(MD5)

0009f4b9972660eeb23ff3a9dccd8d86
18dbc6ea110762acaa05465904dda805
22593db8c877362beb12396cfef693be
25a903e1cc4c96f22c7941d25a54f686
28228f337fdbe3ab34316a7132123c49
2bd7f28919c8f3b0a8ef220b4afa19e4
345be56b0fcd6fce63013f54c054232f
3b7b3a5e3767dc91582c95332440957b
78321ad1deefce193c8172ec982ddad1
82e237ac99904def288d3a607aa20c2b
88e82b7ad1faf63be402cc406c41e20d
8b884dd82376ef8b28d8c1d54e0ad7bc
91f729f6edb54513dd7ddceec69df93d
97363d50a279492fda14cbab53429e75
a8070a3a6d3d82125cf9f218d435ec76
b2c302537ce8fbbcff0d45968cc0a826
b69ab19614ef15aa75baf26c869c9cdd
ef0af7231360967c08efbdd2a94f9808

■ハッシュ情報(Sha1)

0148eb1d0351c0a34acfb3fda538374edff31876
08a67be4a4c5629ac3d12f0fdd1efc20aa4bdb2b
0b9a7e9e23c61ed2dea2d698d9e548c0753bfb09
12180ff028c1c38d99e8375dd6d01f47f6711b97
258243f5987fe1a52eb9440879f10a7f62e42383
26e041ec3fc390d439b19054c38f46980db39113
35c9dae68c129ebb7e7f65511b3a804ddbe4cf1d
3d69fdd4e29ad65799be33ae812fe278b2b2dabe
3f7d3fc4524b99ac4568e078f52fa9c1915c09bd
5ae5a73f4e361765c240e609d7c048b32d4fdd12
5b389f161278af8b09adf56b7c45c2c64db2d2e9
74d1bb865664836f0d3424d74dba18ef9c85a2b1
7cf07efe04fe0012ed8beaa2dec5420a9b5561d6
b2a45500ab2031bc5b3657c9969895dbef61525e
d545c63be94aed40bb75b6358955cdbabe670d4d
d90431138475554c93b92f6ae55347456a433517
f1a181d29b38dfe60d8ea487e8ed0ef30f064763

■ハッシュ情報(Sha256)
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■FQDN

ribotqtonut[.]com
nylalobghyhirgh[.]com
jkvmdmjyfcvkf[.]com
bafyvoruzgjitwr[.]com
xmponmzmxkxkh[.]com
tczafklirkl[.]com
notped[.]com
dnsgogle[.]com
operatingbox[.]com
paniesx[.]com
techniciantext[.]com