🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma falha de segurança recentemente corrigida no Microsoft Windows Server Update Services (WSUS) foi explorada por agentes de ameaças para distribuir malware conhecido como ShadowPad.
“O invasor teve como alvo servidores Windows com WSUS habilitado, explorando CVE-2025-59287 para acesso inicial”, disse o AhnLab Security Intelligence Center (ASEC) em um relatório publicado na semana passada. "Eles então usaram o PowerCat, um utilitário Netcat de código aberto baseado em PowerShell, para obter um shell do sistema (CMD). Posteriormente, eles baixaram e instalaram o ShadowPad usando certutil e curl."
ShadowPad, avaliado como sucessor do PlugX, é um backdoor modular amplamente usado por grupos de hackers patrocinados pelo estado chinês. Ele surgiu pela primeira vez em 2015. Em uma análise publicada em agosto de 2021, o SentinelOne o chamou de “obra-prima de malware vendido de forma privada na espionagem chinesa”.
CVE-2025-59287, abordado pela Microsoft no mês passado, refere-se a uma falha crÃtica de desserialização no WSUS que poderia ser explorada para obter execução remota de código com privilégios de sistema. Desde então, a vulnerabilidade tem sido fortemente explorada, com os agentes da ameaça a usá-la para obter acesso inicial a instâncias do WSUS expostas publicamente, realizar reconhecimento e até mesmo descartar ferramentas legÃtimas como o Velociraptor.
ShadowPad instalado via exploração CVE-2025-59287
No ataque documentado pela empresa sul-coreana de segurança cibernética, descobriu-se que os invasores transformaram a vulnerabilidade em uma arma para iniciar utilitários do Windows como “curl.exe” e “certutil.exe”, para entrar em contato com um servidor externo (“149.28.78[.]189:42306”) para baixar e instalar o ShadowPad.
ShadowPad, semelhante ao PlugX, é iniciado por meio de carregamento lateral de DLL, aproveitando um binário legÃtimo ("ETDCtrlHelper.exe") para executar uma carga útil de DLL ("ETDApix.dll"), que serve como um carregador residente na memória para executar o backdoor.
Uma vez instalado, o malware é projetado para lançar um módulo principal responsável por carregar outros plug-ins incorporados no shellcode na memória. Ele também vem equipado com uma variedade de técnicas de antidetecção e persistência.
“Depois que o código de exploração de prova de conceito (PoC) para a vulnerabilidade foi divulgado publicamente, os invasores rapidamente o transformaram em armas para distribuir malware ShadowPad por meio de servidores WSUS”, disse AhnLab. “Esta vulnerabilidade é crÃtica porque permite a execução remota de código com permissão em nÃvel de sistema, aumentando significativamente o impacto potencial.”
“O invasor teve como alvo servidores Windows com WSUS habilitado, explorando CVE-2025-59287 para acesso inicial”, disse o AhnLab Security Intelligence Center (ASEC) em um relatório publicado na semana passada. "Eles então usaram o PowerCat, um utilitário Netcat de código aberto baseado em PowerShell, para obter um shell do sistema (CMD). Posteriormente, eles baixaram e instalaram o ShadowPad usando certutil e curl."
ShadowPad, avaliado como sucessor do PlugX, é um backdoor modular amplamente usado por grupos de hackers patrocinados pelo estado chinês. Ele surgiu pela primeira vez em 2015. Em uma análise publicada em agosto de 2021, o SentinelOne o chamou de “obra-prima de malware vendido de forma privada na espionagem chinesa”.
CVE-2025-59287, abordado pela Microsoft no mês passado, refere-se a uma falha crÃtica de desserialização no WSUS que poderia ser explorada para obter execução remota de código com privilégios de sistema. Desde então, a vulnerabilidade tem sido fortemente explorada, com os agentes da ameaça a usá-la para obter acesso inicial a instâncias do WSUS expostas publicamente, realizar reconhecimento e até mesmo descartar ferramentas legÃtimas como o Velociraptor.
ShadowPad instalado via exploração CVE-2025-59287
No ataque documentado pela empresa sul-coreana de segurança cibernética, descobriu-se que os invasores transformaram a vulnerabilidade em uma arma para iniciar utilitários do Windows como “curl.exe” e “certutil.exe”, para entrar em contato com um servidor externo (“149.28.78[.]189:42306”) para baixar e instalar o ShadowPad.
ShadowPad, semelhante ao PlugX, é iniciado por meio de carregamento lateral de DLL, aproveitando um binário legÃtimo ("ETDCtrlHelper.exe") para executar uma carga útil de DLL ("ETDApix.dll"), que serve como um carregador residente na memória para executar o backdoor.
Uma vez instalado, o malware é projetado para lançar um módulo principal responsável por carregar outros plug-ins incorporados no shellcode na memória. Ele também vem equipado com uma variedade de técnicas de antidetecção e persistência.
“Depois que o código de exploração de prova de conceito (PoC) para a vulnerabilidade foi divulgado publicamente, os invasores rapidamente o transformaram em armas para distribuir malware ShadowPad por meio de servidores WSUS”, disse AhnLab. “Esta vulnerabilidade é crÃtica porque permite a execução remota de código com permissão em nÃvel de sistema, aumentando significativamente o impacto potencial.”
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #o #malware #shadowpad #explora #ativamente #a #vulnerabilidade #do #wsus #para #acesso #total #ao #sistema
🎉 Obrigado por acompanhar, até a próxima notÃcia!
Postar um comentário