Im März 2020 entdeckten Spezialisten des PT Expert Security Center im Rahmen einer Studie zu Bedrohungen der Informationssicherheit eine bisher unbekannte Hintertür und nannten sie xDll nach dem ursprünglichen Namen im Code. Aufgrund eines Konfigurationsfehlers auf dem Steuerungsserver sind einige der Verzeichnisse von außen zugänglich geworden.
, Shadowpad, xDll, Python-, .. Shadowpad Winnti .
Winnti ShadowPad,
ShadowPad Winnti (APT41, BARIUM, AXIOM), 2012 . . — . . Winnti , supply chain watering hole.
, , , , , , , , , ..
, - , , , , , .
ShadowPad 2017 . supply chain (, , CCleaner ASUS). Winnti ShadowPad ESET 2020 .
, xDll (. 2.2), - APT- . www.g00gle_jp.dynamic-dns[.]net, . , .
, , , . , , XOR 0x37. SkinnyD (Skinny Downloader) - . URL SkinnyD xDll .
SkinnyD, . xDll. . x.jpg ― xDll, XOR 0x37. , xDll SkinnyD.
cache.
, . MD5-- MAC- , xDll, . , , , , : 1990 . , .
ShadowPad, Python- .
, 50 . . , , .
:
,
,
— , ,
— : , .
CERT.
, ShadowPad supply chain , , , , .
Winnti, , 2019 . , Winnti. «» , . — SkinnyD, xDll, Python-.
, , , , , , , 459 Tonto team. Nettraveler.
Winnti , . , , , CCleaner ASUS.