Операція DragonReturn: Китайська шпигунська кампанія, націлена на податкову інфраструктуру Індії
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Високорозвинена кібер-шпигунська кампанія, що підтримується Китаєм, націлена на податкову екосистему Індії, видаючи себе за Міністерство фінансів. Операція використовує фішингові емейли із шкідливими додатками для доставки багатоступеневої інфекційної ланцюжка DcRAT. Шкідливе програмне забезпечення спирається на стеганографію, обходження AMSI та безфайлове виконання .NET для збереження на скомпрометованих системах та витоку конфіденційної інформації.
Слідство
Seqrite Lab виявила кампанію шляхом аналізу багатоступеневої інфекційної ланцюжка, побудованого на фальшивій урядовій утиліті. Розслідування показало використання легкого запускача, який викликає DLL, що потім вводить код у svchost.exe. Аналітики також ідентифікували стеганографічний корисний вантаж, схований у JPG-зображенні, і спостерігали зашифрований трафік керування та управління через TLS.
Мітигація
Організації повинні розгорнути потужну фільтрацію електронної пошти, щоб блокувати підозрілі додатки та посилання, надіслані із підроблених урядових доменів. Групи безпеки мають стежити за несанкціонованим створенням служб Windows, особливо службами, замаскованими під легітимні компоненти, такі як Windows Mixed Reality. Впровадження суворої політики UAC і моніторинг підозрілих виконань в пам’яті .NET також можуть допомогти зменшити вплив компрометації.
Реакція
Якщо ця активність виявлена, уражені кінцеві точки слід негайно ізолювати, щоб запобігти додатковому зв’язку з командно-контрольними серверами та крадіжці даних. Слідчі повинні провести аналіз пам’яті для виявлення вставленого коду всередині svchost.exe і перевірити несанкціоновані служби, такі як MixedSvc. Логи мережі також повинні бути переглянуті на предмет підключень до ідентифікованих доменів та IP-адрес, тоді як інцидентний відгук повинен зосереджуватися на зміні паролів та перевірці цілісності системи.
Потік атаки
Виявлення
Підозріле створення служби для збереження (через систему)
Переглянути
Виявлення зв’язку DragonReturn C2 [Підключення до мережі Windows]
Переглянути
Виявлення введення процесу, що включає VirtualAlloc і CreateToolhelp32Snapshot [Windows Sysmon]
Переглянути
Виявлена шкідлива збереженість через службу Mixed Reality [Створення процесу Windows]
Переглянути
Виконання моделювання
Передумова: Перевірка телеметрії та базової лінії повинна була пройти.
Мотивування: Цей розділ описує точне виконання тактики супротивника (TTP), призначеної для запуску правила виявлення. Команди та наратив МАЮТЬ безпосередньо відображати ідентифіковані TTP та прагнути створити точну телеметрію, очікувану логікою виявлення. Абстрактні або нерелевантні приклади призведуть до неправильної діагностики.
-
Атака як наратив та команди: Супротивник успішно розгорнув дроппер другої стадії. Для встановлення збереженості та отримання подальших інструкцій шкідливе ПЗ намагається зв’язатися з облаштуванням C2, яке задано в коді. Мета нападника – обійти стандартні веб-проксі, використовуючи нестандартний порт (2671). Моделювання буде використовувати PowerShell, щоб імітувати цю поведінку, намагаючись TCP підключення до конкретного домену
kkxqbh.topна порту2671, таким чином створюючи точнудоменнуandпортовутелеметрію, необхідну для правила виявлення. -
Скрипт регресійного тесту:
# Імітація зв'язку DragonReturn C2 $C2Domain = "kkxqbh.top" $C2Port = 2671 Write-Host "[+] Спроба імітації з'єднання C2 до $C2Domain на порту $C2Port..." try { # Використання клієнта TCP для ініціації з'єднання з конкретними IoCs $tcpClient = New-Object System.Net.Sockets.TcpClient $connection = $tcpClient.BeginConnect($C2Domain, $C2Port, $null, $null) # Чекати короткий період, щоб дозволити створити телеметрію $success = $connection.AsyncWaitHandle.WaitOne(5000, $false) if ($success) { Write-Host "[!] З'єднання встановлено (імітація успіху C2)." } else { Write-Host "[?] З'єднання не вдалося (очікувано, якщо домен не активний), але телеметрія має бути створена." } $tcpClient.Close() } catch { Write-Host "[!] Помилка під час моделювання: $_" } -
Команди очищення:
# Постійні зміни не здійснені; очищення не потрібне для цієї моделювання тільки мережі. Write-Host "[+] Моделювання завершено. Жодних змін системи не здійснено."