Panda Acquatica (Earth Lusca): Campagne, Malware e TTP
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Aquatic Panda è un gruppo APT allineato alla Cina focalizzato sulla raccolta di intelligence e sullo spionaggio industriale. Il gruppo utilizza un arsenale di malware diversificato, tra cui SprySOCKS, ShadowPad e BIOPASS RAT, per colpire industrie critiche. Le sue operazioni implicano anche lo sfruttamento di vulnerabilità come Log4Shell e l’uso di rootkit avanzati per mantenere la furtività.
Indagine
Il rapporto delinea molteplici campagne, inclusa l’Operazione FishMedley e attacchi che coinvolgono server VMware Horizon. Esamina il design tecnico del backdoor SprySOCKS, compresa la sua funzionalità di rootkit in modalità kernel e le caratteristiche di persistenza. L’analisi suddivide anche i TTP specifici del gruppo per l’accesso iniziale, l’esecuzione e l’evasione delle difese.
Mitigazione
Le organizzazioni dovrebbero convalidare le loro difese contro i metodi noti di Aquatic Panda utilizzando piattaforme di simulazione e test. Le mitigazioni chiave includono la correzione delle vulnerabilità di Log4j come CVE-2021-44228 e il monitoraggio di attività programmate non autorizzate o cambiamenti sospetti nei servizi di Windows. Un forte rilevamento degli endpoint è anche essenziale per identificare il caricamento laterale di DLL e l’attività di iniezione dei processi.
Risposta
Se viene rilevata un’attività di Aquatic Panda, i rispondenti dovrebbero isolare immediatamente i sistemi interessati per interrompere il movimento laterale. Le indagini dovrebbero concentrarsi sui cambiamenti di registro non autorizzati, specialmente all’interno delle impostazioni dei processori di stampa o IFEO. L’analisi forense dovrebbe dare priorità alla raccolta della memoria da processi sospetti e all’audit delle attività programmate e dei servizi di Windows.
"diagramma di flusso TD step_resource_development["Sviluppo delle Risorse: Registrazione di domini omoglifi e messa in scena di strumenti JNDI/Log4Shell"] step_initial_access["Accesso Iniziale: Sfruttamento di Log4j (CVE-2021-44228) in VMware Horizon"] step_execution["Esecuzione: Scarichi cradle di PowerShell, cmd/C con curl/wget, Attività Programmate e Servizi di Windows"] step_persistence["Persistenza: Creazione di Servizi di Windows, Attività Programmate e Registrazione di DLL del Processo di Stampa"] step_privilege_escalation["Escalation dei Privilegi: Iniezione IFEO e Manipolazione di Token di Accesso tramite CreateProcessAsUserW"] step_defense_impairment["Compromissione della Difesa: Modifica del Firewall Host di Windows con impersonificazione ICMPv6"] step_credential_access["Accesso alle Credenziali: Dumping di memoria LSASS, furto delle hives SAM/SYSTEM, furto di credenziali del browser e DLL di Filtro Password"] step_discovery["Scoperta: Enumerazione di servizi, processi, informazioni di sistema e prodotti di sicurezza software"] step_collection["Raccolta: Keylogging e archiviazione dati con WinRAR"] step_command_and_control["Comando e Controllo: TCP/UDP/WebSockets con AES-128 e Segnalazione del Traffico basata su WFP"] step_stealth["Furtività: Rootkit in modalità kernel (RawWNPF), Iniezione di Processo, Caricamento Laterale di DLL e Evasione Sandbox"] rules_for_step_stealth("<b>Nome della Regola</b>: Percorso di Processo Sospetto (via cmdline)<br/><b>ID della Regola</b>: f28587e8-2aa1-4e6b-bdd1-ad0ce520346a") step_exfiltration["Esfiltrazione: Trasferimento dati tramite C2 o Dropbox (dbxcli)"] step_resource_development –>|porta_a| step_initial_access step_initial_access –>|porta_a| step_execution step_execution –>|porta_a| step_persistence step_persistence –>|porta_a| step_privilege_escalation step_privilege_escalation –>|porta_a| step_defense_impairment step_defense_impairment –>|porta_a| step_credential_access step_credential_access –>|porta_a| step_discovery step_discovery –>|porta_a| step_collection step_collection –>|porta_a| step_command_and_control step_command_and_control –>|porta_a| step_stealth step_stealth –>|porta_a| step_exfiltration step_stealth -.->|rilevato_da| rules_for_step_stealth "
Flusso dell’Attacco
Rilevamenti
Possibile Compressione Dati per Infiltrazione o Esfiltrazione (via cmdline)
Visualizza
Possibile Enumerazione Servizi (via cmdline)
Visualizza
Possibile Dumping SAM/SYSTEM/SECURITY (via cmdline)
Visualizza
Possibile Dumping Credenziali Utilizzando Comsvcs.dll (via cmdline)
Visualizza
Possibile dumping credenziali utilizzando comsvcs.dll (via powershell)
Visualizza
Modifiche al Firewall Sospette via CLI (via cmdline)
Visualizza
Catena di Processi di Sistema Anomala (via process_creation)
Visualizza
Possibili Funzionalità di Accessibilità tramite Abuso del Registro di Sistema (via cmdline)
Visualizza
Possibili Punti di Persistenza [ASEPs – Hive Software/NTUSER] (via registry_event)
Visualizza
Creazione di Servizio Sospetto per Persistenza (via sistema)
Visualizza
Operazioni Immagine Servizio da Processo Raro (via registry_event)
Visualizza
Posizione di Esecuzione di Eseguibile/Script Sospetta via [cmd.exe /C] (via cmdline)
Visualizza
Richiama Classi/Metodi .NET Sospetti da Powershell CommandLine (via process_creation)
Visualizza
Schtasks Punta a Directory / Binario / Script Sospetto (via cmdline)
Visualizza
Percorso di Processo Sospetto (via cmdline)
Visualizza
Allocazione di Memoria per Process Hollowing [Windows Sysmon]
Visualizza
Modifiche del Registro per Hijacking del Debugger e Persistenza del Processore di Stampa [Evento Registro di Windows]
Visualizza
Creazione di Attività Programmata e Download Maligno di PowerShell [Creazione Processo di Windows]
Visualizza
## Esecuzione della Simulazione
Prerequisito: Il Controllo Prevolo di Telemetria & Baseline deve essere passato.
Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirare a generare esattamente la telemetria aspettata dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.
-
Narrativa dell’Attacco & Comandi: Un avversario intende eseguire il process hollowing per nascondere il codice maligno all’interno di un contenitore di processo legittimo. Per testare se l’attuale (anche se difettoso) rilevamento si attiva, l’avversario lancerà
powershell.exeda una directory specifica. Questo simula la fase iniziale di un attacco Living-off-the-Land (LotL) dove l’avversario utilizza uno strumento di sistema standard per iniziare le sue attività malevole, come l’iniezione di memoria o la raccolta di credenziali. L’obiettivo è generare un evento diCreazione Processodove il campoImmaginecontiene una barra rovesciata, come definito nella logica di rilevamento. -
Script di Test di Regressione:
# Simulazione dell'avvio di un processo che soddisfa la logica di rilevamento (debole) # Questo imita l'inizio di una sessione dell'avversario utilizzando uno strumento standard $targetProcess = "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe" Write-Host "Esecuzione: $targetProcess" Start-Process -FilePath $targetProcess -ArgumentList "-NoProfile -ExecutionPolicy Bypass -Command Write-Host 'Simulazione Attiva'" -
Comandi di Pulizia:
# Nessun cambiamento persistente effettuato; nessuna pulizia richiesta per questa simulazione. Write-Host "Pulizia della simulazione completata."