【安全资讯】更新的Shadowpad恶意软件导致勒索软件部署

概要：

近期在欧洲发生的两起网络安全事件中，涉及到Shadowpad恶意软件，这是一种与多个中国威胁组织相关的恶意软件家族。研究表明，该恶意软件已针对至少21家公司，遍及欧洲、中东、亚洲和南美。更为罕见的是，在这些攻击中，威胁行为者还部署了未报告的勒索软件，显示出其攻击手法的多样性和复杂性。

主要内容：

在这两起事件中，攻击者通过远程网络攻击获得了目标的访问权限，利用弱密码和绕过多因素认证机制进入受害者网络。在其中一起事件中，攻击者通过未知手段绕过了基于证书的多因素认证，而在另一起事件中则未使用多因素认证，且有暴力破解的痕迹。获得内部网络访问后，攻击者部署了Shadowpad恶意软件，甚至在域控制器上进行操作。

此次事件影响了多个行业，其中制造业受影响最为严重，涉及11家公司。攻击者的最终目标尚不明确，但可能与知识产权盗窃有关。值得注意的是，攻击者在某些目标上部署了勒索软件，这在使用Shadowpad的攻击者中并不常见。此勒索软件通过合法的可执行文件侧载恶意DLL，进而加密受害系统中的文件，生成的加密文件以.locked为后缀，并在每个目录中放置赎金说明文件。

Shadowpad恶意软件自2017年首次被发现以来，已被多个高级威胁组织使用，其模块化设计使其具备多种间谍功能。此次更新的版本显示出开发者在不断完善其隐蔽性和抗调试能力，使用DNS over HTTPS等技术使网络监控变得更加困难。针对制造业的公司，建议利用安全平台提供商进行全面的安全检查，以防范此类复杂的网络攻击。