کمیته رکن چهارم – بدافزار پیشرفته ShadowPad با سوءاستفاده از یک آسیبپذیری تازه در Windows Server Update Services (WSUS) به سیستمها نفوذ کرده و دسترسی کامل به آنها را به مهاجمان سایبری داده است. این آسیبپذیری با شناسه CVE-2025-59287 امکان اجرای کد از راه دور با سطح دسترسی سیستم را فراهم میکند.
به گزارش کمیته رکن چهارم، مهاجمان پس از بهرهبرداری از این آسیبپذیری، با استفاده از ابزار PowerCat به پوسته دستوری دست یافته و سپس از طریق ابزارهای curl و certutil، بدافزار ShadowPad را بارگیری و نصب کردهاند. ShadowPad یک دربپشتی ماژولار است که پیشتر نیز در حملات مرتبط با گروههای سایبری منتسب به دولت چین دیده شده بود. اجرای این بدافزار با روش DLL Side-Loading و استفاده از فایلهای معتبر ویندوزی نظیر ETDCtrlHelper.exe برای بارگذاری یک DLL مخرب صورت میگیرد.
این حملات با هدف اجرای مخفیانه بدافزار و حفظ پایداری آن در سیستم انجام میشود. افزون بر این، مهاجمان از طریق این دسترسی، ابزارهایی مانند Velociraptor را نیز برای شناسایی بیشتر محیط بهکار گرفتهاند. آسیبپذیری مذکور در مهرماه ۱۴۰۴ توسط مایکروسافت وصله شده اما از زمان انتشار عمومی کد اثبات مفهومی، بهرهبرداری از آن شدت یافته است.
تحلیلگران امنیتی هشدار دادهاند که این آسیبپذیری، به دلیل فراهم کردن دسترسی سطح سیستم، خطر قابل توجهی برای زیرساختهای ویندوزی سازمانها دارد و لازم است مدیران شبکه در اسرع وقت اقدامات حفاظتی را اجرا کنند.
