SOC Prime Bias: Kritisch

01 Jul 2026 09:05 UTC

Aquatic Panda (Earth Lusca): Kampagnen, Malware und TTPs

Author Photo
SOC Prime Team linkedin icon Folgen
Aquatic Panda (Earth Lusca): Kampagnen, Malware und TTPs
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Aquatic Panda ist eine China-ausgerichtete APT-Gruppe, die sich auf Informationsbeschaffung und Industriespionage konzentriert. Die Gruppe verwendet ein vielfältiges Arsenal an Malware, einschließlich SprySOCKS, ShadowPad und BIOPASS RAT, um kritische Industrien anzugreifen. Ihre Operationen beinhalten auch die Ausnutzung von Schwachstellen wie Log4Shell und den Einsatz fortschrittlicher Rootkits zur Aufrechterhaltung von Tarnung.

Untersuchung

Der Bericht beschreibt mehrere Kampagnen, einschließlich Operation FishMedley und Angriffe auf VMware Horizon-Server. Er untersucht das technische Design des SprySOCKS-Backdoors, einschließlich seiner Kernel-Mode-Rootkit-Funktionalität und Persistenzfunktionen. Die Analyse zerlegt auch die spezifischen TTPs der Gruppe für den initialen Zugriff, Ausführung und Defensive-Evasion.

Minderung

Organisationen sollten ihre Abwehrmaßnahmen gegen die bekannte Handelsweise von Aquatic Panda mithilfe von Simulations- und Testplattformen validieren. Wichtige Gegenmaßnahmen umfassen das Patchen von Log4j-Schwachstellen wie CVE-2021-44228 und das Überwachen auf unbefugte geplante Aufgaben oder verdächtige Änderungen an Windows-Diensten. Eine starke Endpoint-Erkennung ist ebenfalls entscheidend, um DLL-Sideloading und Prozessinjektionsaktivitäten zu identifizieren.

Antwort

Wenn Aktivitäten von Aquatic Panda festgestellt werden, sollten die Reaktionskräfte die betroffenen Systeme sofort isolieren, um die seitliche Bewegung zu stoppen. Die Untersuchungen sollten sich auf unbefugte Registrierungsänderungen konzentrieren, insbesondere innerhalb von Print Processors oder IFEO-Einstellungen. Die forensische Analyse sollte die Speichersammlung aus verdächtigen Prozessen und die Überprüfung geplanter Aufgaben und Windows-Dienste priorisieren.

"flowchart TD step_resource_development["Resource Development: Registrieren von Homoglyph-Domains und Bereitstellung von JNDI/Log4Shell-Tools"] step_initial_access["Initial Access: Ausnutzen von Log4j (CVE-2021-44228) in VMware Horizon"] step_execution["Execution: PowerShell-Download-Cradles, cmd/C mit curl/wget, geplante Aufgaben und Windows-Dienste"] step_persistence["Persistence: Erstellen von Windows-Diensten, geplanten Aufgaben und Registrierung von Print Processor DLLs"] step_privilege_escalation["Privilege Escalation: IFEO-Injektion und Zugangstoken-Manipulation über CreateProcessAsUserW"] step_defense_impairment["Defense Impairment: Ändern der Windows-Host-Firewall mit ICMPv6-Imitation"] step_credential_access["Credential Access: LSASS-Speicher-Dumping, Diebstahl von SAM/SYSTEM-Hives, Browseranmeldedaten-Diebstahl und Passwortfilter-DLL"] step_discovery["Discovery: Aufzählen von Diensten, Prozessen, Systeminformationen und Software-Sicherheitsprodukten"] step_collection["Collection: Keylogging und Datenarchivierung mit WinRAR"] step_command_and_control["Command and Control: TCP/UDP/WebSockets mit AES-128 und WFP-basiertem Traffic-Signaling"] step_stealth["Stealth: Kernel-Mode-Rootkit (RawWNPF), Prozessinjektion, DLL-Sideloading und Sandbox-Evasion"] rules_for_step_stealth("<b>Regelname</b>: Verdächtiger Prozesspfad (über cmdline)<br/><b>Regel-ID</b>: f28587e8-2aa1-4e6b-bdd1-ad0ce520346a") step_exfiltration["Exfiltration: Datentransfer über C2 oder Dropbox (dbxcli)"] step_resource_development –>|führt zu| step_initial_access step_initial_access –>|führt zu| step_execution step_execution –>|führt zu| step_persistence step_persistence –>|führt zu| step_privilege_escalation step_privilege_escalation –>|führt zu| step_defense_impairment step_defense_impairment –>|führt zu| step_credential_access step_credential_access –>|führt zu| step_discovery step_discovery –>|führt zu| step_collection step_collection –>|führt zu| step_command_and_control step_command_and_control –>|führt zu| step_stealth step_stealth –>|führt zu| step_exfiltration step_stealth -.->|erkannt von| rules_for_step_stealth "

Angriffsfluss

Erkennungen

Mögliche Datenkomprimierung für Infiltration oder Exfiltration (über cmdline)

SOC Prime Team
30. Juni 2026

Mögliche Dienstaufzählung (über cmdline)

SOC Prime Team
30. Juni 2026

Mögliches SAM/SYSTEM/SECURITY-Dumping (über cmdline)

SOC Prime Team
30. Juni 2026

Mögliches Anmeldeinformations-Dumping mit Comsvcs.dll (über cmdline)

SOC Prime Team
30. Juni 2026

Mögliches Anmeldeinformationendumping mit comsvcs.dll (über powershell)

SOC Prime Team
30. Juni 2026

Verdächtige Firewall-Modifikationen über CLI (über cmdline)

SOC Prime Team
30. Juni 2026

Abnorme Systemprozesskette (über prozess_erstellung)

SOC Prime Team
30. Juni 2026

Mögliche Zugänglichkeitsfunktionen durch Registry-Missbrauch (über cmdline)

SOC Prime Team
30. Juni 2026

Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (über registry_event)

SOC Prime Team
30. Juni 2026

Verdächtige Diensterstellung zur Persistenz (über system)

SOC Prime Team
30. Juni 2026

Dienstbildoperationen durch seltene Prozesse (über registry_event)

SOC Prime Team
30. Juni 2026

Verdächtiger Ausführungsort von Skripten/Ausführungsdateien über [cmd.exe /C] (über cmdline)

SOC Prime Team
30. Juni 2026

Aufruf verdächtiger .NET-Klassen/Methoden von Powershell-Befehlszeile (über prozess_erstellung)

SOC Prime Team
30. Juni 2026

Schtasks verweist auf verdächtiges Verzeichnis / Binärdatei / Skript (über cmdline)

SOC Prime Team
30. Juni 2026

Verdächtiger Prozesspfad (über cmdline)

SOC Prime Team
30. Juni 2026

Speicherzuweisung zur Prozess-Hollowing [Windows Sysmon]

SOC Prime AI-Regeln
30. Juni 2026

Registry-Änderungen für Debugger-Entführung und Print Processor-Persistenz [Windows Registry-Event]

SOC Prime AI-Regeln
30. Juni 2026

Erstellung geplanter Aufgaben und bösartiger PowerShell-Download [Windows Prozess-Erstellung]

SOC Prime AI-Regeln
30. Juni 2026

## Simulation Ausführung

Voraussetzung: Der Telemetrie- und Baseline-Vorflug-Check muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der vom Angreifer angewandten Technik (TTP), die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die exakte Telemetrie zu generieren, die durch die Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffsgeschichte & Befehle: Ein Angreifer beabsichtigt, Prozess-Hollowing durchzuführen, um bösartigen Code innerhalb eines legitimen Prozesscontainers zu verbergen. Um zu testen, ob die aktuelle (wenn auch fehlerhafte) Erkennung ausgelöst wird, wird der Angreifer powershell.exe aus einem bestimmten Verzeichnis starten. Dies simuliert die Anfangsphase eines Living-off-the-Land (LotL)-Angriffs, bei dem der Angreifer ein standardmäßiges Systemwerkzeug verwendet, um seine bösartigen Aktivitäten zu beginnen, wie z. B. Speicherinjektion oder Anmeldeinformationen Ernte. Das Ziel ist es, ein Prozesserstellungs Ereignis zu generieren, bei dem das Bild Feld einen Backslash enthält, wie in der Erkennungslogik definiert.

  • Regressionstest-Skript:

     # Simulieren eines Prozessstarts, der der (schwachen) Erkennungslogik entspricht
      # Dies imitiert den Beginn einer Angreifersitzung unter Verwendung eines Standardtools
      $targetProcess = "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe"
      Write-Host "Ausführung: $targetProcess"
      Start-Process -FilePath $targetProcess -ArgumentList "-NoProfile -ExecutionPolicy Bypass -Command Write-Host 'Simulation Aktiv'"
  • Bereinigungskommandos:

     # Es wurden keine dauerhaften Änderungen vorgenommen; keine Bereinigung erforderlich für diese Simulation.
      Write-Host "Bereinigung der Simulation abgeschlossen."