«Лабораторія Касперського» виявила в поширеному серверному софт NetSarang шкідливу програму ShadowPad, що володіє функціональністю бекдора.

Повідомляється, що зловредів був знайдений в ході розслідування підозрілої активності в корпоративній мережі неназваною фінансової організації. В цілому ж, під загрозою опинилися користувачі програмного забезпечення NetSarang з різних індустрій, багато хто з них є організаціями зі списку Fortune 500.

В ході розслідування з'ясувалося, що в системі, обробної фінансові транзакції постраждалої організації, стали з'являтися підозрілі DNS-запити. Їх джерелом стало легітимне ПО для управління серверами: кіберзлочинці впровадили в нього шкідливий код з метою крадіжки даних з корпоративних мереж великих компаній.

Прихований зловредів кожні вісім годин зв'язується з командним центром зловмисників. Передані пакети даних містять базову інформацію про систему компанії-жертви. У разі якщо потенційна жертва представляє інтерес для атакуючих, з командного сервера надходить у відповідь запит, який активує заздалегідь завантажену в систему шкідливу програму, яка, в свою чергу, може довантажувати і запускати інші шкідливі модулі.

На даний момент ShadowPad активований в Азіатсько-Тихоокеанського регіоні. Разом з тим він може залишатися в неактивному стані в багатьох системах по всьому світу. Компанія NetSarang вже видалила зі свого продукту шкідливий код і випустила закриває вразливість оновлення.

«Лабораторія Касперського» додає, що використовуються в даній кіберкампаніі техніки і інструменти дуже схожі на ті, що застосовувалися в атаках кітайскоговорящей угруповання WinNTi. Втім, поки чіткий зв'язок між цими атаками встановити не вдалося.