卡巴斯基早前表示,由 NetSarang 開發的伺服器管理程式 XManager 及其旗下其他軟件一度被黑客改寫,加入後門程式 ShadowPad,並透過網絡傳播。調查中亦發現一間位於香港的企業曾被啟動此後門攻擊。
卡巴斯基表示,他們於 2017 年 7 月接獲一金融機構求助,協助調查其企業網絡內發現的可疑的 DNS 查詢,追查後發現來源自該機構正使用的 NetSarang 程式。專家調查後發現,該程式最近發佈的數個版本,均被惡意修改殖入加密負載(Payload),網絡罪犯可利用此後門進行攻擊。
此後門程式攻擊被命名為 ShadowPad,隨 NetSarang 官方發佈的軟件安裝檔散播,攻擊可分成兩階段。首先,使用者安裝帶後門的程式後,程式進行基本的系統情報收集,每 8 小時向 C&C 伺服器發送網絡的使用者帳號、網域及主機名稱等資料。然後黑客決定進一步攻擊時,他們會透過 C&C 伺服器向被入侵系統安裝功能更完整的後門程式。
當後門程式成功載入公司的網絡,便會在注冊表內架設虛擬檔案系統,容許黑客上載檔案、安裝惡意程式、建立程序、監視系統工作、偷取資料等。
有問題程式已下架 一間香港企業中招
NetSarang 接獲卡巴斯基通報後已把所有被植入後門的程式下架,並換上安全的安裝檔。根據報告 NetSarang 曾發佈的5個程式帶有 ShadowPad 後門,估計於7月時被惡意植入。
卡巴斯基指,調查中發現一間位於香港的企業曾被啟動此後門攻擊,由於 NetSarang 的伺服器管理程式被用於全球不少的重要網絡,他們建議有使用相關程式的企業盡快採取行動檢查並更新相關程式。