VMware的威胁分析单位监测到的ShadowPad命令与控制服务器

关键要点

自2021年9月以来，VMware的威胁分析单位TAU观察到多达85个由ShadowPad恶意软件变种支持的命令与控制C2服务器。这些信息来自于The Hacker News。VMware TAU表示，他们对三种不同的ShadowPad变种进行了深入研究，这些变种使用了TCP、UDP和HTTP(S)协议来进行C2服务器之间的通信。团队采用了一种名为ZMap的工具，生成开放主机的列表并对其进行扫描，从而检测到这些服务器。

此外，研究团队还发现Spyder和ReverseWindow恶意软件样本与ShadowPad C2 IP地址之间的通信。这些样本之间存在重叠，尤其是Spyder样本与Winnti 40木马的Worker组件之间，更是引起了研究者的关注。

扫描互联网中的APT恶意软件C2服务器有时就像大海捞针。然而，正如VMware TAU的高级威胁研究员Takahiro Haruyama所述，一旦C2服务器的扫描成功，它将成为最积极的威胁检测方法之一，从而改变整个安全领域的游戏规则。

对ShadowPad及其命令与控制基础设施的持续监测，对各类组织抵御网络攻击和加强安全防护有着重要的意义。了解这类威胁的传播方式和与其它恶意软件的联系，可以帮助企业提升自身的防御能力，降低潜在风险。