ShadowPad เป็น backdoor Windows ที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถดาวน์โหลดโมดูลที่เป็นอันตรายเพิ่มเติมหรือขโมยข้อมูล ได้ถูกนำไปใช้โดยกลุ่มภัยคุกคามของจีน 5 กลุ่มตั้งแต่ปี 2560
เมื่อเร็วๆ นี้ การโจมตีที่เกี่ยวข้องกับ ShadowPad ได้ทำการโจมตีกลุ่มองค์กรใน ฮ่องกง อินเดีย ปากีสถาน และประเทศอื่นๆ ในเอเชียกลาง โดยกลุ่มผู้ไม่ประสงค์ดีหลายกลุ่ม เช่น APT41,Tick, RedEcho , RedFoxtrot, Operation Redbonus, Redkanku และ Fishmonger
อ้างอิง https://thehackernews.com/
ซึ่ง Malware จะทำงานโดยการถอดรหัสและโหลด Root plugin ในหน่วยความจำ ซึ่งจะดูแลการโหลดโมดูลฝังตัวอื่นๆ ระหว่างที่ระบบกำลังทำงาน นอกเหนือจากการปรับใช้ plugin เสริมแบบไดนามิกจากเซิร์ฟเวอร์สามารถส่งคำสั่งควบคุมระยะไกลได้ (Command & Control) ทำให้ผู้ไม่ประสงค์ดีสามารถเพิ่มฟังก์ชันที่ไม่ได้รวมอยู่ในค่าเริ่มต้นได้ มีการใช้งานปลั๊กอินที่ไม่ซ้ำกัน 22 รายการจนถึงปัจจุบัน
Shadowpad เป็นแพลตฟอร์ม Malware แบบโมดูลาร์ที่จำหน่ายแบบส่วนตัว แทนที่จะเป็นเฟรมเวิร์คการโจมตีแบบเปิด แต่จะขายปลั๊กอินแยกต่างหากโดยจะมีปลั๊กอินอยู่ประมาณ 100 รายการ โดยขายแยกกันแทนที่จะขายเป็นชุดเต็มพร้อมใช้ปลั๊กอินทั้งหมดที่มีอยู่ในปัจจุบัน
การเกิดขึ้นของ ShadowPad ซึ่งเป็น backdoor ที่ขายเป็นการส่วนตัว ได้รับการพัฒนามาอย่างดี และใช้งานได้ เปิดโอกาสให้ผู้ไม่ประสงค์ดีนำไปใช้โดยไม่ต้องพัฒนาขึ้นเอง มีแนวโน้มสูงที่จะผลิตโดยนักพัฒนามัลแวร์ที่มีประสบการณ์ ทั้งฟังก์ชันการทำงานและความสามารถในการป้องกันการจัดเก็บพยานหลักฐานดิจิทัล (Forensics) ได้สำเร็จ
ผู้เขียน : นาย วสุพล ไชยสง่าศิลป์
ผู้ตรวจทาน : นายเจษฏา ทองก้านเหลือง
เผยแพร่ : วันที่ 27 สิงหาคม 2564