WSUS ShadowPad backdoorral
Az AhnLab SEcurity intelligence Center (ASEC) elemzése szerint a támadók kihasználták a Microsoft Windows Server Update Services (WSUS) CVE-2025-59287 azonosítójú távoli kódvégrehajtási sebezhetőségét, hogy ShadowPad nevű káros szoftvert juttassanak be a rendszerekbe. A támadás során a WSUS szolgáltatást futtató Windows szervereket célozták meg, ahol a sebezhetőség segítségével PowerShell-en keresztül, a PowerCat nyílt forráskódú eszköz segítségével szereztek rendszerhozzáférést (CMD shell), majd telepítették a ShadowPad malware-t.
A ShadowPad egy moduláris, kémprogramként és hátsó ajtóként működő káros szoftver, amelyet korábban is használtak célzott támadásokban, különösen ipari és vállalati környezetben. Az ASEC elemzése szerint a támadók a WSUS infrastruktúra bizalmát kihasználva, a frissítési folyamatba beépítve juttatták be a káros kódot, így a célszámítógépek automatikusan letöltötték és futtatták a fertőzött fájlokat. Ez a módszer különösen veszélyes, mert a WSUS-t általában bizalmas forrásnak tekintik a rendszergazdák, így a káros frissítések nehezen észrevehetők.
