Исследователи «Лаборатории Касперского» обнаружили скрытый бэкдор в ПО для управления сервером NetSarang Xmanager и Xshell.
Бэкдор активируется следующим образом. Сначала .DLL генерирует доменное имя, основываясь на дате (месяц и год). Специально созданная для домена запись DNS TXT вызывает открытие канала к управляющему серверу, и ПО загружает ключ для дешифровки. После этого у атакующего появляется возможность запускать код и похищать данные. Любой, кто может настроить доменное имя для определенного месяца и года и сымитировать C&C-сервер, способен получить контроль над организацией, использующей уязвимое ПО NetSarang.
Проблема затрагивает Xmanager Enterprise 5.0 (сборка 1232), Xmanager 5.0 (сборки 1045), Xshell (сборка 1322), Xftp 5.0 (сборка 1218) и Xlpd 5.0 (сборка 1220). Похоже, что неизвестным удалось незаметно вмешаться в операции NetSarang и незаметно внедрить бэкдор. Производитель выясняет, каким образом Shadowpad попал в их продукцию, и уже выпустил обновление.
Бэкдор был внедрен в ПО 13 июля и попал к пользователям спустя пять дней. По словам исследователей, вредонос имеет определенное сходство с хакерскими инструментами PlugX и Winnti, используемыми китайскими киберпреступниками.