Секретный бэкдор, названный исследователями Shadowpad, скрыт в библиотеке nssock2.dll. Каждые восемь часов он передает C&C-серверу данные о скомпрометированном компьютере, его сети и именах пользователей.
Специалисты из «Лаборатории Касперского» обнаружили скрытый бэкдор в ПО для управления сервером NetSarang Xmanager и Xshell. Проблема касается Xmanager Enterprise 5.0 (сборка 1232), Xmanager 5.0 (сборки 1045), Xshell (сборка 1322), Xftp 5.0 (сборка 1218) и Xlpd 5.0 (сборка 1220).
Активируется он следующим образом. Сначала .DLL на основании даты генерирует доменное имя (месяц и год). Специально созданная для домена запись DNS TXT вызывает открытие канала к управляющему серверу, и ПО загружает ключ для дешифровки. После этого для атакующего открывается возможность запуска кода и кражи данных. Таким образом, каждый кто способен настроить доменное имя для определенного месяца и года и сымитировать C&C-сервер, может получить контроль над компанией, использующей уязвимое ПО NetSarang.
Бэкдор был внедрен в ПО 13 июля и попал к пользователям спустя пять дней. Каким образом он оказался в продукции NetSarang достоверно неизвестно. На данный момент производитель это выясняет, тем временем уже доступно необходимое обновление.
Источник: http://www.securitylab.ru/
