SOC Prime Bias: Критичний

01 Jul 2026 09:05 UTC

Водяна Панда (Земля Луска): Кампанії, Шкідливе ПЗ та TTP

Author Photo
SOC Prime Team linkedin icon Стежити
Водяна Панда (Земля Луска): Кампанії, Шкідливе ПЗ та TTP
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Aquatic Panda є групою APT, що діє в інтересах Китаю, і зосереджена на зборі розвідданих та промисловому шпигунстві. Група використовує різноманітний арсенал шкідливого ПЗ, включаючи SprySOCKS, ShadowPad та BIOPASS RAT, щоб атакувати критичні галузі. Її операції також включають експлуатацію вразливостей, таких як Log4Shell, та використання передових руткітів для збереження прихованості.

Розслідування

Звіт окреслює численні кампанії, включаючи Operation FishMedley та атаки із залученням серверів VMware Horizon. Він вивчає технічний дизайн бекдора SprySOCKS, включаючи функціональність руткіта у режимі ядра та функції стійкості. Аналіз також деталізує конкретні TTP групи для початкового доступу, виконання та уникання захисту.

Профілактика

Організації повинні перевірити свою захищеність від відомих методів групи Aquatic Panda за допомогою платформ симуляції та тестування. Ключові заходи профілактики включають оновлення вразливостей Log4j, таких як CVE-2021-44228 та моніторинг несанкціонованих запланованих завдань або підозрілих змін у службах Windows. Сильне виявлення на кінцевих точках також є важливим для ідентифікації завантаження DLL та активації процесів.

Реагування

Якщо виявлено діяльність Aquatic Panda, реагуючим особам слід негайно ізолювати уражені системи, щоб зупинити бічне переміщення. Розслідування повинні зосереджуватися на несанкціонованих змінах в реєстрі, особливо в налаштуваннях Print Processors або IFEO. Форензичний аналіз має пріоритетизувати збір пам’яті з підозрілих процесів та перевірку запланованих завдань і служб Windows.

"flowchart TD step_resource_development["Розробка ресурсів: Реєстрація доменів-омографів та підготовка JNDI/Log4Shell інструментів"] step_initial_access["Початковий доступ: Експлуатація Log4j (CVE-2021-44228) у VMware Horizon"] step_execution["Виконання: Завантажувальні рамки PowerShell, cmd/C з curl/wget, Заплановані завдання та Служби Windows"] step_persistence["Стійкість: Створення Служб Windows, Запланованих завдань та реєстрація DLL Print Processor"] step_privilege_escalation["Ескалація привілеїв: Впорскування в IFEO та маніпуляція з маркером доступу через CreateProcessAsUserW"] step_defense_impairment["Усунення оборони: Зміна Брандмауера Windows Host з імітацією ICMPv6"] step_credential_access["Доступ до облікових даних: Знімання пам’яті LSASS, крадіжка SAM/SYSTEM hive, крадіжка облікових даних браузера та Password Filter DLL"] step_discovery["Розвідка: Перерахування служб, процесів, системної інформації та програмних продуктів безпеки"] step_collection["Збір: Кеївлогінг та архівування даних за допомогою WinRAR"] step_command_and_control["Командування та контроль: TCP/UDP/WebSockets з AES-128 та сигналізація трафіку на основі WFP"] step_stealth["Скритність: Руткіт у режимі ядра (RawWNPF), Впорскування процесів, Завантаження DLL на стороні та уникнення пісочниці"] rules_for_step_stealth("<b>Назва правила</b>: Підозрілий шлях процесу (через cmdline)<br/><b>ID правила</b>: f28587e8-2aa1-4e6b-bdd1-ad0ce520346a") step_exfiltration["Експфільтрація: Передача даних через C2 або Dropbox (dbxcli)"] step_resource_development –>|призводить до| step_initial_access step_initial_access –>|призводить до| step_execution step_execution –>|призводить до| step_persistence step_persistence –>|призводить до| step_privilege_escalation step_privilege_escalation –>|призводить до| step_defense_impairment step_defense_impairment –>|призводить до| step_credential_access step_credential_access –>|призводить до| step_discovery step_discovery –>|призводить до| step_collection step_collection –>|призводить до| step_command_and_control step_command_and_control –>|призводить до| step_stealth step_stealth –>|призводить до| step_exfiltration step_stealth -.->|виявлено| rules_for_step_stealth "

Потік атаки

Виявлення

Можлива стиснення даних для інфільтрації або ексфільтрації (через cmdline)

Команда SOC Prime
30 червня 2026

Можливе перерахування служб (через cmdline)

Команда SOC Prime
30 червня 2026

Можливе зняття копії SAM/SYSTEM/SECURITY (через cmdline)

Команда SOC Prime
30 червня 2026

Можливе зняття облікових даних за допомогою Comsvcs.dll (через cmdline)

Команда SOC Prime
30 червня 2026

Можливе зняття облікових даних за допомогою comsvcs.dll (через powershell)

Команда SOC Prime
30 червня 2026

Підозрілі зміни Брандмауера через CLI (через cmdline)

Команда SOC Prime
30 червня 2026

Нетиповий ланцюжок системних процесів (через створення процесів)

Команда SOC Prime
30 червня 2026

Можливі функції доступності через зловживання реєстром (через cmdline)

Команда SOC Prime
30 червня 2026

Можливі точки стійкості [ASEPs – Software/NTUSER Hive] (через події реєстру)

Команда SOC Prime
30 червня 2026

Підозріле створення служби для стійкості (через систему)

Команда SOC Prime
30 червня 2026

Операції зображення служб рідким процесом (через події реєстру)

Команда SOC Prime
30 червня 2026

Підозріле місце виконання виконуваного файлу/скрипту через [cmd.exe /C] (через cmdline)

Команда SOC Prime
30 червня 2026

Виклик підозрілих класів/методів .NET з командного рядка Powershell (через створення процесів)

Команда SOC Prime
30 червня 2026

Schtasks вказує на підозрілий каталог/бінарний файл/скрипт (через cmdline)

Команда SOC Prime
30 червня 2026

Підозрілий шлях процесу (через cmdline)

Команда SOC Prime
30 червня 2026

Виділення пам’яті Hollowing процесу [Windows Sysmon]

Правила SOC Prime AI
30 червня 2026

Зміни в реєстрі для підміни налагоджувача та стійкості Print Processor [Події реєстру Windows]

Правила SOC Prime AI
30 червня 2026

Створення запланованого завдання та завантаження шкідливого PowerShell [Створення процесів Windows]

Правила SOC Prime AI
30 червня 2026

## Виконання симуляції

Передумова: Перевірка телеметрії та базового рівня перед польотом повинна пройти.

Обґрунтування: Цей розділ деталізує точне виконання техніки супротивника (TTP), призначеної для запуску правила виявлення. Команди і наратив МАЮТЬ безпосередньо відображати ідентифіковані TTP і прагнути генерувати точну телеметрію, яку очікує логіка виявлення. Абстрактні або непов’язані приклади призведуть до неправильної діагностики.

  • Атака: наратив і команди: Супротивник має намір виконати hollowing процесу, щоб приховати шкідливий код у легітимному контейнері процесу. Для перевірки, чи спрацьовує поточне (хоча і недосконале) виявлення, супротивник запустить powershell.exe з конкретного каталогу. Це імітує початковий етап атаки Living-off-the-Land (LotL), де супротивник використовує стандартний системний інструмент, щоб розпочати свою шкідливу діяльність, таку як ін’єкція в пам’ять або забирання облікових даних. Мета – згенерувати Створення процесу подію, де Зображення поле містить зворотний слеш, як визначено в логіці виявлення.

  • Скрипт тесту регресії:

     # Імітація запуску процесу, який задовольняє (слабку) логіку виявлення
      # Це імітує початок сесії супротивника, використовуючи стандартний інструмент
      $targetProcess = "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe"
      Write-Host "Виконання: $targetProcess"
      Start-Process -FilePath $targetProcess -ArgumentList "-NoProfile -ExecutionPolicy Bypass -Command Write-Host 'Симуляція активна'"
  • Команди очищення:

     # Постійні зміни не внесено; очищення для цієї симуляції не потребується.
      Write-Host "Очищення симуляції завершено."