«Лаборатория Касперского» обнаружила в распространённом серверном софте NetSarang вредоносную программу ShadowPad, обладающую функциональностью бекдора.

Сообщается, что зловред был найден в ходе расследования подозрительной активности в корпоративной сети неназванной финансовой организации. В целом же, под угрозой оказались пользователи программного обеспечения NetSarang из различных индустрий, многие из них являются организациями из списка Fortune 500.

В ходе расследования выяснилось, что в системе, обрабатывающей финансовые транзакции пострадавшей организации, стали появляться подозрительные DNS-запросы. Их источником стало легитимное ПО для управления серверами: киберпреступники внедрили в него вредоносный код с целью кражи данных из корпоративных сетей крупных компаний.

Скрытый зловред каждые восемь часов связывается с командным центром злоумышленников. Передаваемые пакеты данных содержат базовую информацию о системе компании-жертвы. В случае если потенциальная жертва представляет интерес для атакующих, с командного сервера поступает ответный запрос, активирующий предварительно загруженную в систему вредоносную программу, которая, в свою очередь, может подгружать и запускать другие вредоносные модули.

На данный момент ShadowPad активирован в Азиатско-Тихоокеанского регионе. Вместе с тем он может оставаться в неактивном состоянии во многих системах по всему миру. Компания NetSarang уже удалила из своего продукта вредоносный код и выпустила закрывающее уязвимость обновление.

«Лаборатория Касперского» добавляет, что используемые в данной киберкампании техники и инструменты очень похожи на те, что применялись в атаках китайскоговорящей группировки WinNTi. Впрочем, пока чёткую связь между этими атаками установить не удалось.